Gefährliche Sicherheitslücke in Uploadify

Eine Sicher­heits­lü­cke in Uploa­di­fy ermög­licht SQL-Injec­tions. Dadurch ist es mög­lich, belie­bi­gen Code auf dem Ser­ver aus­zu­füh­ren. Die Sicher­heits­lü­cke ist nicht neu, aber trotz­dem gefähr­lich, wenn sich eine ver­al­te­te Ver­si­on von Uploa­di­fy auf dem Ser­ver befin­det. Uploa­di­fy wird von eini­gen The­mes ver­wen­det, bei­spiels­wei­se in Joom­la oder Word­Press.

Eine befreun­de­te Fir­ma kon­tak­tier­te mich, weil laut Aus­kunft des Pro­vi­ders der Ser­ver gehackt wor­den war. Es han­del­te sich um ein Joom­la-Instal­la­ti­on auf einem 1&1‑Server (Web­hos­ting-Paket „1&1 Dual Basic“). 1&1 hat­te Unre­gel­mä­ßig­kei­ten auf dem Ser­ver fest­ge­stellt und eini­gen Datei­en die Lese­be­rech­ti­gung ent­zo­gen – sehr guter Ser­vice . Dadurch wur­de grö­ße­rer Scha­den ver­hin­dert.

Zuerst bestand der Ver­dacht, dass sich Unbe­fug­te wegen unsi­che­rer Pass­wör­ter Zugang ver­schaf­fen konn­ten. Also wur­den alle Datei­en auf dem Ser­ver durch ein sau­be­res Back­up ersetzt und sämt­li­che Pass­wör­ter geän­dert. Nach eini­gen Stun­den das glei­che Spiel: Wie­der hat­ten Hacker eini­ge PHP-Datei­en auf den Ser­ver kopiert und Inhal­te mani­pu­liert.

Ich habe mir dann die Log-Datei­en genau­er ange­se­hen. Wie immer in sol­chen Fäl­len, muss man hier nach „POST“-Einträgen suchen. Die­se brach­ten mich schnell zur Datei /administrator/components/com_bt_portfolio/helpers/uploadify/uploadify.php. Laut Ver­si­ons-Infor­ma­tio­nen han­del­te es sich um Uploa­di­fy v2.1.4 vom Novem­ber 2010. Eine schnel­le Suche brach­te mich auf die Sei­te http://insecurety.net/?p=102, die auf die Schwach­stel­le hin­weist.
Von Uploa­di­fy selbst gibt es inzwi­schen die Ver­si­on 3.2.1. Auf der Sei­te Making Uploa­di­fy Secu­re gibt es zudem eini­ge Sicher­heits­hin­wei­se. Unter ande­rem die­sen Vor­schlag: „Rena­me your uploadify.php file to some­thing uni­que.“, also ein wenig Secu­ri­ty by Obscu­ri­ty.

Uploadify.php ist nicht Bestand­teil einer Stan­dard-Joom­la-Instal­la­ti­on. Es gelang­te durch Instal­la­ti­on eines kom­mer­zi­el­len The­mes auf den Ser­ver. Das The­me wur­de erst vor eini­gen Mona­ten instal­liert. Zu die­sem Zeit­punkt gab es von Uploa­di­fy längst eine neue­re Ver­si­on. Vom Anbie­ter des The­mes (http://bowthemes.com) gab es kei­ne Hin­wei­se zu ver­füg­ba­ren Updates.

Als schnel­le Lösung habe ich Uploadify.php erst ein­mal ent­fernt und emp­foh­len, auf ein ande­res The­me umzu­stei­gen oder wenigs­tens auf die Kom­po­nen­te zu ver­zich­ten. Denn es ist nicht aus­zu­schlie­ßen, dass in dem The­me-Paket noch wei­te­re Sicher­heits­lü­cken ver­bor­gen sind.

Aus die­sem Vor­gang kann man auf jeden Fall eins ler­nen: Es kann gefähr­lich sein, unbe­dacht The­mes oder Erwei­te­run­gen in einem Joom­la-CMS zu instal­lie­ren. Erwei­te­run­gen aus dem Joom­la-Repo­si­to­ri­um wer­den immer­hin vom ein­ge­bau­ten Update-Mecha­nis­mus erfasst. Bei kom­mer­zi­el­len The­mes ist das nicht der Fall. Da ist der Her­stel­ler in der Pflicht. Wenn die­ser über Updates nicht infor­miert oder kei­ne anbie­tet, wird der Ser­ver schnell Opfer von Angrei­fern.