symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien
Moderation
Einstellungen
Story einsenden
Suchen & Index
Ruhmeshalle
Statistiken
Umfragen
Redaktion
Themen
Partner
Planet
XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Backdoor-User in OpenXchange Default-Installation
Veröffentlicht durch XTaran am Donnerstag 18. Mai 2006, 11:23
Aus der wachsame-Admins Abteilung
Security Cemil schreibt: "Soeben haben wir in der Firma eine interessante Entdeckung in OpenXchange gemacht — und dazu auch einen entsprechenden Bug-Report eröffnet. In einen OpenXchange Install-Initscript für den LDAP findet sich (zumindest bis OpenXchange Version 0.8.2) für den User "mailadmin" ein Default-Passwort. Wenn ein Admin nicht aufpasst und diesen LDAP-User nicht löscht, hat er eine Backdoor auf seinen System. Es gibt Installations-Howtos, die verweisen auf diese Schwachstelle — die meisten vergessen oder übersehen diese jedoch leider."

Veranstaltung: Kontrolle und Überwachung digitaler Informationsverbreitung | Druckausgabe | DDoS-Angriff zwingt Anti-Spam-Firma zur Aufgabe  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Cemil
  • Bug-Report
  • Mehr zu Security
  • Auch von XTaran
    •

    Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    selbst schuld (Score:0)
    Von Anonymer Feigling am Thursday 18. May 2006, 11:53 MEW (#1)
    wenn jemand das default-passwort nicht ändert. Das ist dann aber kein Backdoor oder sonst eine reißerische bezeichnung..
    Re: selbst schuld (Score:2)
    Von P2501 am Thursday 18. May 2006, 12:32 MEW (#3)
    (User #31 Info) http://www.p2501.ch/
    Das Problem, wenn ich richtig verstanden habe, ist, dass der Installationsskript ungefragt und ohne Meldung einen User mit Standardpasswort anlegt. Heutzutage sollte man eigentlich erwarten können, dass solcher Unsinn unterlassen wird. Gerade bei exponierten Produkten wie OpenXchange.

    --
    GPL ist der Versuch, den Ring gegen Sauron einzusetzen.
    Re: selbst schuld (Score:-1, Troll)
    Von Anonymer Feigling am Thursday 18. May 2006, 16:55 MEW (#6)
    Du bist einfach nur dumm. Software darf per Default weder für den Anwender noch jemanden anderen eine Gefahr darstellen. Default-Passwort gibt es nicht. Es gibt nur per Default deaktivierte Accounts. Wenn es schon keinen Internetführerschein gibt, sollte man wenigstens einen Programmierführerschein in Betracht ziehen. Open-Source ist keine Entschuldigung für Abfall in Textform.
    Re: selbst schuld (Score:0)
    Von Anonymer Feigling am Thursday 18. May 2006, 17:04 MEW (#7)
    ääääh...

    mysql setzt auf vielen (allen?) distris auch kein passwort für den user 'root'.

    Backdoor ? ;-)
    Re: selbst schuld (Score:0)
    Von Anonymer Feigling am Thursday 18. May 2006, 18:35 MEW (#9)
    nur lokal - wir reden hier von remote :)
    Seltsam... (Score:1)
    Von sugus am Thursday 18. May 2006, 12:07 MEW (#2)
    (User #1095 Info)
    Wieso wird nich standardmässig "/bin/false" als Loginshell für diesen User verwendet ? Ich kenne OX nicht wirklich, aber es scheint mir doch ziemlich fahrlässig zu sein, dass sowas in einer Default-Installation vorhanden ist.
    Re: Seltsam... (Score:0)
    Von Anonymer Feigling am Thursday 18. May 2006, 13:43 MEW (#4)
    /bin/false hilft nicht gegen sämtlichen Unfug. Du kannst zum Beispiel auch mit /bin/false als Shell einen Rechner als Port-Tunnel verwenden, wenn also von draussen ein ssh -L5555:192.168.1.5:80 -N mailadmin@openXchange-Rechner geht,kommst du trotz vermeindlich eingeschränktem Zugriff auf Ressourcen im Intranet oder kannst beispielsweise auf Port 25 (der Connections von Localhost erlaubt) lustig Spam verschicken. /bin/false ist alleine kein Schutz vor Mißbrauch, man kann genug machen, wofür man keine Shell braucht!
    Re: Seltsam... (Score:0)
    Von Anonymer Feigling am Thursday 18. May 2006, 16:46 MEW (#5)
    Die Login-Shell zu deaktivieren hat mit Sicherheit rein gar nichts zu tun. Wenn man nicht will, dass sich jemand unter dem Account einloggen kann, löscht man einfach das Passwort. Die Login-Shell deaktivieren ist einfach nur nervig, weil su dann auch nicht funktioniert, was für administrative Zwecke sehr nützlich sein kann.
    Re: Seltsam... (Score:1)
    Von Maverick (lb-web@projectdream.org) am Thursday 18. May 2006, 17:46 MEW (#8)
    (User #757 Info) http://projectdream.org
    su -s/bin/bash user
    sudo -u user bash
    Re: Seltsam... (Score:-1, Troll)
    Von Anonymer Feigling am Thursday 18. May 2006, 23:02 MEW (#10)
    Tja, ich diagnostiziere Linux im Endstadium. Geh mal zum Onkel Doktor. Gibt es hier beides nicht. Muss ich mich jetzt erschiessen? Fühlst du dich wenigstens sicherer?
    Re: Seltsam... (Score:1)
    Von Maverick (lb-web@projectdream.org) am Friday 19. May 2006, 07:54 MEW (#11)
    (User #757 Info) http://projectdream.org
    sudo wird wohl ziemlich sicher auch auf deiner Plattform laufen ;)
    Re: Seltsam... (Score:0)
    Von Anonymer Feigling am Friday 19. May 2006, 15:51 MEW (#14)
    Würde es sicher, aber ich benötige es nicht und deshalb habe ich es nicht. Die Login-Shell wird aber z.B. normalerweise auch für cron-Jobs gebraucht.
    Re: Seltsam... (Score:0)
    Von Anonymer Feigling am Sunday 18. June 2006, 12:22 MEW (#15)
    college of charleston online * state farm insurance madison * income poverty and health insurance * federal mortgage company * loans in louisiana * insurance orlando florida * prescription drug marketing act of 1987 * guardian insurance co * personal loans in chicago * play money blackjack * paradise island casino * alliance credit counseling * how much does renters insurance cost * car loan values * texas holdem downloads * love my poker * teens and credit cards * program credit card * car loans for people with no credit * call me a safe bet im betting im not lyrics * information on tramadol * ringtones for sprint and nextel * improve your credit scores * health insurance for travellers * stores credit cards * self funded health insurance * 21 questions music video * cost of nexium * play with all superstar poker deluxe online * casinos in new york * century 21 best realty * poker money clip * get out of credit card debt
    Nun auch bei Golem.de (Score:2)
    Von Pasci am Friday 19. May 2006, 09:48 MEW (#12)
    (User #1968 Info) http://www.dev4u.ch
    http://golem.de/0605/45407.html
    Golem... (Score:1)
    Von Alfrede am Friday 19. May 2006, 09:56 MEW (#13)
    (User #1854 Info)
    Golem berichtet auch darüber. Natürlich haben sie es nicht nötig Symlink als Quelle zu nennen. Statt dessen machen sie daraus ihre eigene Exklusivmeldung.

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.    		 trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen