Lücke in Postnukes Datenbankfunktionen [Update]
Über eine Schwachstelle in der mitgelieferten Datenbank-Abstraktionsschicht adobdb können Angreifer beliebige SQL-Befehle an die Datenbank übergeben und ausführen können.
Die Entwickler des Content-Management-Systems Postnuke weisen auf eine Schwachstelle in der mitgelieferten Datenbank-Abstraktionsschicht adodb hin, mit der Angreifer beliebige SQL-Befehle an die Datenbank übergeben und ausführen können. Allerdings sollte das Problem nach Angaben von Andreas Krapohl vom Postnuke-Entwicklungsteam bei den wenigsten Installationen zum Tragen kommen: Betroffen sind nämlich nur Systeme, bei denen der Zugriff auf die Datenbank mit dem Nutzer "root" ohne Kennwort erfolgt.
Als Workaround sollten Administratoren folgende Dateien und Ordner entfernen:
/includes/classes/adodb/server.php
/includes/classes/adodb/cute_icons _for_site
/includes/classes/adodb/PEAR
/includes/classes/adodb/contrib
/includes/classes/adodb/session/old
/includes/classes/adodb/tests
Darüberhinaus sollte der gesamte Zugriff auf das Verzeichnis /includes/classes per .htaccess blockiert werden. Alternativ stehen auch aktualisierte Installations-Pakete zur Verfügung.
Update
Der Sicherheitsdienstleister Secunia hat weitere Details zu der Schwachstelle in adodb veröffentlicht. Demnach filtert das Testskript "server.php" einige Variablen nicht vollständig, sodass sich eigene Befehle an die MySQL-Datenbank übergeben lassen. Zudem ermöglicht ein Fehler in Skript "tmssql.php" den Aufruf beliebiger PHP-Funktionen. Betroffen sind die PHP-Versionen für adodb 4.68 und vorhergehende. In Version 4.70 ist das Problem behoben.
Neben Postnuke setzen auch zahlreiche andere Produkte adodb ein, etwa Cacti, Mantis und Moodle.
Siehe dazu auch: (dab)
- Arbitrary SQL code execution via adodb , Fehlerreport auf Postnuke.com
