"Es geht darum, dass man mit einer einfachen URL auf das Ziel die Konfigurationsdatei des Portalsystems auslesen kann. Darin enthalten sind natürlich mysql Passwörter und all die anderen Angaben. Auf phpnuke.org war noch nichts zu lesen.
Ich arbeite selbst viel mit PHP-Nuke und bin panikergriffen zu meiner Konsole gerannt.
Was heisst dies nun?
Erstens: Alle Berechtigungen (Sofort)
Zweitens: Der BUG muss von Hand entfernt werden, und sollte sich um die Zeilen 226 in admin.php befinden"
Soweit der alte Bug, von dem ja bekanntlich auch Ufies.org betroffen gewesen ist. Der neue, der gestern Abend auf Bugtraq gekommen ist, erlaubt es nun, als Apache User (nobody) aufs ganze Filesystem zuzugreifen, man hat also sozusagen einen lokalen Account. Jeder weiss, wie einfach es ist, einen local exploit für dieses oder jenes zu beschaffen, die Kiste ist also so gut wie geknackt. Und dazu genügt ein Zugriff auf Port 80, sofern dort eine beliebige PHP-Nuke Version läuft.
Das Mail an Bugtraq ist noch nicht in deren Mailarchiv (oder ich finde es einfach nicht), sollte aber hoffentlich bald online sein.
Noch ein Wort zum Umgang von PHP-Nuke mit solchen Meldungen: lausig, dass sie auf der eigenen Site nichts dazu veröffentlichen, die Sites der unaufmerksameren Admins sind so immer noch vulnerable.
Kruemi meint:"Nur gut, dass wir hier den Slashcode einsetzen. An alles Script Kiddies: Es bringt nix, den beschriebenen Hack hier anwenden zu wollen!"
|