Wiki-Software TWiki führt Schadcode aus
Angreifer können Webservern, auf denen eine ungesicherte verwundbare Version der Software läuft, beliebige Befehle erteilen.
- Christiane Rütten
Die Wiki-Software TWiki lässt sich unter Umständen von Angreifern übers Netz beliebige Befehle erteilen. Laut einem Advisory der amerikanischen Sicherheitsbehörde US-CERT betrifft die Schwachstelle die Versionen bis einschließlich 4.2.2. Der Fehler befindet sich demnach im Konfigurationsskript twiki/bin/configure.
Laut den TWiki-Entwicklern lässt sich die Lücke allerdings nur ausnutzen, wenn entgegen den Anweisungen der Installationsanleitung keine zusätzliche Absicherung des configure-Skriptes vorgenommen wurde. Die Entwickler haben den Fehler inzwischen beseitigt und Version 4.2.3 herausgegeben.
Im Internet zirkuliert derweil auch Exploit-Code, mit dem sich die Schwachstelle ohne tiefergehendes technisches Verständnis ausnutzen lässt. TWiki-Admins sollten daher unverzüglich auf die neue Version aktualisieren. Ist dies aus administrativen Gründen nicht möglich, bietet auch der Austausch des betroffenen configure-Skriptes gegen eine fehlerbereinigte Version vorläufig Schutz gegen Angriffe.
Siehe dazu auch:
- TWiki command execution vulnerability, Advisory des US-CERT
(cr)
