zurück zum Artikel

Ein Angreifer kann eigenen PHP-Code auf dem System ausführen und auf die Datenbank zugreifen.

Anwender der freien Blog-Software Simplog [1] sollten in nächster Zeit ein wachsames Auge auf ihren Server werfen, da mit Angriffen zu rechnen ist. So wurde auf der Seite Milw0rm.com ein Exploit [2] für eine Sicherheitslücke veröffentlicht, mit der ein Angreifer eigenen PHP-Code auf dem System ausführen kann. Ursache der Lücke ist ein Fehler in doc/index.php, mit dem sich über den s-Parameter Dateien von externen Servern einbinden lassen. Die Lücke lässt sich jedoch nur dann ausnutzen, wenn in php.ini die Option allow_url_fopen aktiviert ist, was standardmäßig aber leider der Fall ist.

Darüberhinaus wurden noch weitere Lücken in Simplog bekannt. So ermöglichen Fehler in index.php und archive.php mit manipulierten Parametern durch SQL-Injection den Zugriff auf die von Simplog benutzte Datenbank. Ein alter Bekannter ist ebenfalls anzutreffen: Die Datenbank-Abstraktionsschicht adodb, die in früheren Versionen unsichere Testskripte [3] mit sich brachte, ist im Lieferumfang von Simplog enthalten. Zu guter Letzt lässt sich login.php auch noch für Cross-Site-Scripting-Angriffe ausnutzen.

Betroffen ist die aktuelle Version 0.92, wahrscheinlich auch vorherhergehende. Ein Update steht noch nicht zur Verfügung. Als Workaround hilft es, den Zugriff auf das adodb-Verzeichnis zu beschränken und in der php.ini (unter Debian /etc/php4/apache/) allow_url_fopen = off zu setzen. Gegen die SQL-Injection-Lücken hilft derzeit nur die manuelle Anpassung des Codes.

Siehe dazu auch: (dab [4])

• Simplog Multiple Vulnerabilities and Security Issues [5], Fehlerbericht auf Secunia

URL dieses Artikels:
https://www.heise.de/-117143

Links in diesem Artikel:
[1] http://www.simplog.org/
[2] http://milw0rm.com/exploits/1663
[3] https://www.heise.de/news/Luecke-in-Postnukes-Datenbankfunktionen-Update-164303.html
[4] mailto:dab@ct.de
[5] http://secunia.com/advisories/19628/

Copyright © 2006 Heise Medien