DokuWiki: Exportierte Nutzerlisten können Schadcode in Excel einschleusen
Excel könnte mit aus DokuWiki exportierten Daten dazu gebracht werden, Schadcode auszuführen. Der Entwickler sieht das nicht als Problem seiner Software.
(Bild: EsaRiutta)
- Fabian A. Scherschel
Aus einer Warnung der Sicherheitsfirma SEC Consult geht hervor, dass Administratoren der Wiki-Software DokuWiki Ziel von gezielten Angriffen werden könnten. Die Sicherheitsforscher weisen darauf hin, dass beim Export von Listen mit Nutzernamen aus der Wiki-Software Dateien generiert werden könnten, die beim Öffnen in einem Tabellenkalkulationsprogramm Schadcode ausführen. Da die Namensfelder von Programmen wie Excel als Formeln interpretiert und ausgeführt werden, stellen die vom Wiki erzeugten CSV-Dateien unter Umständen ein Sicherheitsrisiko dar.
Das Problem ist keine Schwachstelle in DokuWiki, die Sicherheitslücke befindet sich im Tabellenkalkulationsprogramm, das die vom Wiki exportierte CSV-Datei öffnet. Trotzdem findet das Problem seinen Ursprung in der Tatsache, dass Nutzer sich in der Standardeinstellung unter beliebigem Namen und ohne Zugangsbeschränkung bei DokuWiki anmelden können. Andreas Gohr, Autor von DokuWiki, sieht es nicht als seine Aufgabe an, die Sicherheitslücke (CVE-2018-15474) zu schließen. Das Sicherheitsproblem solle in Excel oder ähnlichen Tabellenkalkulationsprogrammen geschlossen werden, schreibt er in einem Eintrag auf der Patreon-Seite des Projektes. Zuvor hatte er das Problem auf GitHub mit seiner Entwickler-Gemeinde diskutiert, die zum selben Ergebnis gekommen war.
Sicherheitsfirma will nicht diskutieren
In seinem Patreon-Post schießt Gohr gegen seinen Kontakt bei der Sicherheitsfirma. Er nehme als Entwickler die Sicherheit seines Projektes sehr ernst und habe auf die Anfrage von SEC Consult innerhalb von 40 Minuten reagiert. Nachdem er die Details der Lücke erhalten habe, so Gohr, habe er die Lücke auf GitHub zur Diskussion gestellt, wie er das immer tue.
Er habe den SEC-Consult-Vertreter eingeladen, an der Diskussion teilzunehmen, der habe aber verlangt, dass er für weitere Informationen bezahlt werde. Am Ende sei man ohne den Vertreter der Sicherheitsfirma zu dem Schluss gekommen, dass die Lücke in der Verantwortung der Tabellenkalkulationsprogramme liege – die auch meist vor entsprechendem Input in importierten Dateien warnen. "Wenn du dich bei einem Wiki als =- The \DokuWiki M@ster/ -= anmelden willst, ist das für mich voll in Ordnung", so DokuWiki-Projektleiter Gohr. Er wolle es Nutzern nicht verbieten, ihre Nutzernamen mit einem Gleichzeichen zu beginnen.
Unabhängig davon, ob DokuWiki gefährliche Nutzernamen verhindern sollte, oder nicht, Administratoren, die Listen ihrer Benutzer exportieren, sollten eventuell Vorsicht walten lassen. Sie sollten besonders bei großen Wikis mit vielen Benutzern und freier Anmeldung darauf achten, dass die Software, in die sie die CSV-Dateien importieren, die Namen nicht als Code ausführt. (fab)
