uploadify.php

Gefährliche Sicherheitslücke in Uploadify

Eine Sicher­heits­lü­cke in Uploa­di­fy ermög­licht SQL-Injec­tions. Dadurch ist es mög­lich, belie­bi­gen Code auf dem Ser­ver aus­zu­füh­ren. Die Sicher­heits­lü­cke ist nicht neu, aber trotz­dem gefähr­lich, wenn sich eine ver­al­te­te Ver­si­on von Uploa­di­fy auf dem Ser­ver befin­det. Uploa­di­fy wird von eini­gen The­mes ver­wen­det, bei­spiels­wei­se in Joom­la oder Word­Press.

Eine befreun­de­te Fir­ma kon­tak­tier­te mich, weil laut Aus­kunft des Pro­vi­ders der Ser­ver gehackt wor­den war. Es han­del­te sich um ein Joom­la-Instal­la­ti­on auf einem 1&1‑Server (Web­hos­ting-Paket „1&1 Dual Basic“). 1&1 hat­te Unre­gel­mä­ßig­kei­ten auf dem Ser­ver fest­ge­stellt und eini­gen Datei­en die Lese­be­rech­ti­gung ent­zo­gen – sehr guter Ser­vice . Dadurch wur­de grö­ße­rer Scha­den ver­hin­dert.

Zuerst bestand der Ver­dacht, dass sich Unbe­fug­te wegen unsi­che­rer Pass­wör­ter Zugang ver­schaf­fen konn­ten. Also wur­den alle Datei­en auf dem Ser­ver durch ein sau­be­res Back­up ersetzt und sämt­li­che Pass­wör­ter geän­dert. Nach eini­gen Stun­den das glei­che Spiel: Wie­der hat­ten Hacker eini­ge PHP-Datei­en auf den Ser­ver kopiert und Inhal­te mani­pu­liert.

Ich habe mir dann die Log-Datei­en genau­er ange­se­hen. Wie immer in sol­chen Fäl­len, muss man hier nach „POST“-Einträgen suchen. Die­se brach­ten mich schnell zur Datei /administrator/components/com_bt_portfolio/helpers/uploadify/uploadify.php. Laut Ver­si­ons-Infor­ma­tio­nen han­del­te es sich um Uploa­di­fy v2.1.4 vom Novem­ber 2010. Eine schnel­le Suche brach­te mich auf die Sei­te http://insecurety.net/?p=102, die auf die Schwach­stel­le hin­weist.
Von Uploa­di­fy selbst gibt es inzwi­schen die Ver­si­on 3.2.1. Auf der Sei­te Making Uploa­di­fy Secu­re gibt es zudem eini­ge Sicher­heits­hin­wei­se. Unter ande­rem die­sen Vor­schlag: „Rena­me your uploadify.php file to some­thing uni­que.“, also ein wenig Secu­ri­ty by Obscu­ri­ty.

Uploadify.php ist nicht Bestand­teil einer Stan­dard-Joom­la-Instal­la­ti­on. Es gelang­te durch Instal­la­ti­on eines kom­mer­zi­el­len The­mes auf den Ser­ver. Das The­me wur­de erst vor eini­gen Mona­ten instal­liert. Zu die­sem Zeit­punkt gab es von Uploa­di­fy längst eine neue­re Ver­si­on. Vom Anbie­ter des The­mes (http://bowthemes.com) gab es kei­ne Hin­wei­se zu ver­füg­ba­ren Updates.

Als schnel­le Lösung habe ich Uploadify.php erst ein­mal ent­fernt und emp­foh­len, auf ein ande­res The­me umzu­stei­gen oder wenigs­tens auf die Kom­po­nen­te zu ver­zich­ten. Denn es ist nicht aus­zu­schlie­ßen, dass in dem The­me-Paket noch wei­te­re Sicher­heits­lü­cken ver­bor­gen sind.

Aus die­sem Vor­gang kann man auf jeden Fall eins ler­nen: Es kann gefähr­lich sein, unbe­dacht The­mes oder Erwei­te­run­gen in einem Joom­la-CMS zu instal­lie­ren. Erwei­te­run­gen aus dem Joom­la-Repo­si­to­ri­um wer­den immer­hin vom ein­ge­bau­ten Update-Mecha­nis­mus erfasst. Bei kom­mer­zi­el­len The­mes ist das nicht der Fall. Da ist der Her­stel­ler in der Pflicht. Wenn die­ser über Updates nicht infor­miert oder kei­ne anbie­tet, wird der Ser­ver schnell Opfer von Angrei­fern.

[amazon_auto_links id="323980"]


Schlagwörter:


Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Partner-Links

[amazon_auto_links id="323997"]

Neueste Kommentare

  1. Die digitale Abhängigkeit von Geräten wie dem Smartphone ist nicht mehr von der Hand zu weisen. Man soll am besten…

  2. Vielen herzlichen Dank für die Anleitung. Sie war äußerst hilfreich bei der Einrichtung meiner Fritzbox. Ich kann sie nur bestens…


Die Website durchsuchen