Sicherheitslecks in Open-Source-Groupware [Update]
Das in PHP geschriebenen more.groupware ist anfällig für Cross-Site-Scripting-Attacken und erlaubt das Hochladen und Ausführen eigener Skripte.
Die webbasierte Groupware-Lösung more.groupware bietet zwei mögliche Angriffspunkte aufgrund von Sicherheitslöchern. Betroffen sind Version 0.6.7 und vorhergehende. Der Sicherheitsexperte Francois Sorin beschreibt in seinem Advisory eine Cross-Site-Scripting-Schwäche mehrerer PHP-Module. Im Modul Contact kann beispielsweise JavaScript in die Eingabefelder eingefügt werden. Ein Angreifer kann sich einen Account anlegen und bestimmte Felder mit Code füllen. Einträge wie zum Beispiel <script>alert();</script> können dann bei Abruf durch einen Benutzer auf dessen Browser im Sicherheitskontext der Seite ausgeführt werden. Ein weiterer Fehler erlaubt es, beliebige Dateien hochzuladen und auszuführen. Der Fehler liegt dabei in der falschen Rechtevergabe des Speicherortes der Datei. Somit kann man eine PHP-Datei hochladen und durch Angabe der URL auf dem Server mit dessen Rechten ausführen. Die Entwickler von more.groupware sind über die Probleme bereits informiert. Die kürzlich freigegebene Version 0.6.8 enthält die Fehler ebenfalls. Karsten Dambekalns, einer der Entwickler von more.groupware, sagt dazu: "Wir planen innerhalb der nächsten 4 Wochen eine neue Release, die die genannten Probleme behebt."
Als Workaround für das Ausführen von Skripten auf dem Server wird ein Korrigieren der Rechte auf Verzeichnisse empfohlen. Um die Cross-Site-Scripting-Schwäche zu beseitigen, empfehlen die Entwickler den Einsatz von more.groupware in geschlossenen Benutzergruppen. (dab)
