Content-Management-System PHP-Nuke verwundbar

Zwei Fehler in der plattformunabhängigen Open-Source CMS-Lösung PHP-Nuke gefährden den sicheren Betrieb. Der erste Fehler ermöglicht einem Angreifer beliebige Dateien auf das System hochzuladen und auszuführen. Schuld ist das Modul "mailattach.php", das im Usernamen enthaltene Pfade nicht ausfiltert. Damit legt man im Verzeichnis seiner Wahl eine PHP-Datei als Mailattachment ab und startet sie anschließend mit dem Modul "modules.php" und den entsprechenden Parametern. Die Lücke findet sich in Version 6.7, andere Versionen sind wahrscheinlich ebenfalls betroffen. Als Workaround ist in dem Security Advisory zur Lücke ein Vorschlag zu finden, wie man das fehlerhafte Modul mit zusätzlichen Abfragen sicherer macht.

Auf Bugtraq beschreibt ein Posting einen Bug in Version 6.6. Andere Versionen können den Fehler auch enthalten, sind aber nicht daraufhin getestet worden. Eine Schwachstelle im Modul "modules.php" ermöglicht das Einschleusen von Befehlen in die SQL-Datenbank (SQL-Injection). Der Parameter "cid" wird nicht daraufhin überprüft, ob er nur numerische Zeichenketten enthält. SQL-Befehle lassen sich damit als Parameter übergeben und ausführen. Ist die darunterliegende Datenbank MySQL 4.x, kann ein Angreifer die Passwort-Hashes der Datenbank einsehen. Abhilfe schafft auch hier nur die zusätzliche Überprüfung des Parameters mit der Funktion is_numeric().

PHP-Nuke ist eine Out-of-the-Box-Lösung zum schnellen Aufbau einer Webseite mit Content-Management. Der Name ist Programm: Basierend auf PHP ist es plattformunabhängig. Leider finden sich in PHP-Nuke immer wieder sämtliche Klassiker der Sicherheitslücken: SQL-Injection, Information Disclosure, Hochladen und Ausführen beliebiger Dateien sowie Cross-Site-Scripting. Auch ist die Grundinstallation nicht gerade als sicher zu bezeichnen. Anwender sollten bei einem Einsatz des Produktes regelmäßig ein Auge auf etwaige Security-Meldungen werfen. (dab)