In dem Foto-Blog-System Pixelpost wurden diverse Schwachstellen entdeckt, die es einem Angreifer unter Umständen übers Netz ermöglichen, die vollständige administrative Kontrolle zu übernehmen, beliebige Manipulationen an der Datenbank durchzuführen und weiterführende Informationen über den Webserver zu erlangen. Dies geht aus einem Advisory des Neo Security Team (NST) hervor. Demnach soll sich die ungefilterte Variable $showimage nutzen lassen, um beliebige SQL-Befehle an die zugrunde liegende Datenbank zu schicken. Ein auf diese Weise erlangter Passwort-Hash für den Administratorzugang reiche zur Anmeldung per Cookie bereits aus.
Neben beliebigen Veränderungen an den Blog-Inhalten sei als Admin auch der Upload beliebiger Dateitypen möglich, da eine nähere Überprüfung der hochgeladenen Dateien nicht vorgenommen werde. Ein Angreifer könnte verwundbare Installationen somit beispielsweise zur Verbreitung unerwünschter Inhalte nutzen. Darüber hinaus ist über die Datei includes/phpinfo.php der ungeschützte Zugriff auf serverinterne Informationen möglich, die unter Umständen neue Angriffsmöglichkeiten eröffnen oder unterstützen. Weiterhin sollen sich die ungefiltert übernommenen HTTP-Header-Felder USER_AGENT, HTTP_REFERER und HTTP_HOST ebenfalls zur Ausführung beliebiger SQL-Kommandos nutzen lassen.
Laut NST-Advisory sind die Pixelpost-Versionen 1.4.3, 1.5 Beta1 und vermutlich auch die Vorgängerversionen von den Schwachstellen betroffen. Das NST machte zuletzt mit einem umstrittenen Wordpress-Advisory von sich reden und veröffentlichte auch dieses Advisory ohne vorherige Absprache mit den Entwicklern. Daher gibt es bislang für Pixelpost auch keine offiziellen Patches. Doch die Entwickler haben bereits angekündigt, dass der kommende Release-Candidate 1.5 RC1 die Probleme beheben soll. Pixelpost-Anwender, die bis zu dessen Erscheinen nicht auf ihr Foto-Blog verzichten können, sollten sich mit regelmäßigen Backups ihres Web-Verzeichnisses und ihrer Datenbank wappnen, um die Schäden durch mögliche Angriffe zu minimieren.
Siehe dazu auch:
* Pixel Post <=1.4.3 Multiple Vulnerabilities, Advisory des Neo Security Team
Quelle und Links :
http://www.heise.de/security/news/meldung/70410
