Analyse: MIME-Sniffing-Probleme bei PHP-Anwendungen [Update]

Der Sicherheitspezialist Jacques Copeau hat sich einige bekannte PHP-Anwendungen hinsichtlich der Ausnutzbarkeit der MIME-Sniffing-Problematik im Internet Explorer näher angeschaut. Eine ursprünglich als Sicherheitsmaßnahme eingeführte Schutzfunktion im Internet Explorer 6 und 7 kann nämlich dazu führen, dass der Internet Explorer ein Bild als HTML behandelt und eingebetteten Script-Code ausführt.

Angreifer können auf diese Weise Schutzmaßnahmen von Webseiten umgehen, auf denen etwa nur das Hochladen von Bildern erlaubt, das Einstellen aktiver Inhalte aber verboten ist. Weitere Details dazu sind im Artikel "Gefährliches Schnüffeln" auf heise Security zu finden.

Copeau hat konkret die Board- und Forenanwendungen MyBB (1.4.5), SMF (1.1.18 / 2.0RC1), phpBB (2.0.23/3.0.4), FluxBB (1.3), phorum (5.2.10), WBB (lite/3.0.8) und vBulletin (3.8.2) daraufhin untersucht, ob sie konkrete Funktionen zum Schutz vor derartigen Angriffen auf Anwender bieten und ob sich diese umgehen lassen.

MyBB erzwingt den Download von Dateien durch Setzen des HTTP-Headers content-disposition: attachment, sodass etwa ein Bild gar nicht erst im Browser angezeigt wird. FluxBB führte beim Hochladen eines Bildes nur eine einfache Prüfung des Dateityps durch, die sich aber relativ einfach austricksen ließ. SMF prüfte zwar ebenfalls das hochgeladene Bild auf die Richtigkeit des Dateityps, lieferte an den Browser aber dennoch ein Bild aus, in dem Dateiendung und Signatur nicht übereinstimmten. WBB hatte zwar einen JavaScript-Filter implementiert, der erkannte aber nur im Klartext geschriebene Tags wie <script>. Sobald die Tags verschleiert waren, blockierte der Filter sie nicht mehr. phorum wies keinerlei Schutzfunktionen auf.

Auch vBulletin und phpBB3 nutzten Filter, um Angriffe durch Skripte in Bildern zu verhindern. Dem Autor war es nach eigenen Angaben aber nicht möglich, die Schutzfunktionen auszutricksen. Auch phpBB2 zeigte sich nicht verwundbar, da es für die unterstützten Bildformate png, gif und jpeg die richtigen Header sendete.

Die Entwickler von MyBB, FluxBB, Phorum und SMF haben nach Angaben von Copeau auf die Probleme reagiert und diese in aktuellen Versionen behoben. Administratoren sollten ein Update auf die neuen Versionen zum Schutz ihrer Besucher erwägen. Nur die Entwickler von WBB haben laut Bericht bislang noch keine Updates präsentiert.

[Update]In der bereits Anfang Mai erschienenen Version 3.0.9 des Burning Board (WBB) wurde die Kontrolle des Dateityps bei Uploads verbessert. In einem kurzen Test zeigte sich, dass WBB nun die Header korrekt ausliefert und das MIME-Sniffing-Problem nicht mehr zum Tragen kommt.[/Update]

Seit Version 8 führt der Internet Explorer allerdings ohnehin kein MIME-Sniffing mehr durch und interpretiert in Bildern versteckten Code nicht mehr.

Siehe dazu auch:

* Survey: "MIME/Content-Type-Sniffing" Issues in Image Uploads in Forum Scripts, Analyse von Jacques Copeau