Hotfixes für kritische Lücken im CMS Plone [Update]
Durch zwei kritische Schwachstellen kann ein Angreifer die Kontrolle über den Webserver übernehmen.
- Daniel Bachfeld
Die Entwickler des Content-Management-Systems Plone haben Updates veröffentlicht, um zwei kritische Schwachstellen zu beseitigten, über die ein Angreifer die Kontrolle über den Webserver übernehmen kann. Plone setzt auf dem Python-basierenden Webanwendungsserver Zope auf und gilt als flexibles CMS für größere Webauftritte.
Ursache der Lücken sind Fehler in den statusmessages- und linkintegrity-Modulen, durch die Plone bestimmte empfangene Daten fälschlicherweise als Python-Pickles interpretiert, also als serialisierten String. Dazu benutzt es das Python-Paket Pickles, mit dem sich unter anderem Session-Daten speichern lassen. Dadurch soll es möglich sein, eigenen Python-Code mit den Rechten des Zope- respektive Plone-Prozesses auszuführen. Prinzipiell steht das Pickles-Paket im Verruf, unsicher zu sein, da es keinen Schutz vor böswillig manipulierten Daten bietet. Entwickler sollten Daten genauer prüfen, ehe sie sie mit dem Modul weiterverarbeiten.
Betroffen sind Plone 2.5 bis einschließlich 2.5.4 sowie Plone 3.0 bis einschließlich 3.0.2. Die zur Verfügung gestellten Hotfixes lösen das Problem. In den kommenden Versionen 2.5.5 und 3.0.3 soll der Fehler nicht mehr zu finden sein. Frühere Versionen wie 2.1.x und darunter sind nicht verwundbar.
Update
Der Plone-Entwickler Martijn Pieters und der Entdecker der Lücken Andreas Zeidler haben in einer Stellungnahme gegenüber heise Security explizit darauf hingewiesen, dass der Einsatz von Pickle nicht nur potenzielle Risiken birgt sondern das Modul grundsätzlich unsicher ist, wenn es zur Verarbeitung von Benutzereingaben oder über das Netzwerk übertragener Daten benutzt wird. Beide raten in solchen Fällen dringend vom Einsatz von Pickle ab. Daher würde durch den Hotfix das Modul in Plone nicht mehr benutzt. Auch andere Webanwendungen sind verwundbar, sofern sie Pickle einsetzen.
Siehe dazu auch:
- Plone Hotfix 20071106, Beschreibung auf Plone.org
- CVE-2007-5741: Unsafe data interpreted as pickles, Fehlerbericht von auf plone.org
(dab)
