Das Content Management System iRacer ist in der Default-Konfiguration offen gegen Manipulationen von außen. Wie der Sicherheitsexperte Dirk Heringhaus entdeckt hat, schützt das CMS in den Standardeinstellungen offensichtlich einige Verzeichnisse nicht vor externen Zugriffen. Durch Eingabe von URLs mit manipulierten Parametern kann deshalb jedermann Zugriff auf die CMS-Verwaltung erlangen. iRacer wird von mehr als hundert teilweise sehr namhaften Firmen in Deutschland, Österreich und der Schweiz eingesetzt, viele dieser Sites sind verwundbar.
Heringhaus, der bereits vor einem Jahr schwerwiegende Sicherheitsprobleme bei der Telekom-Tochter T-Com aufdeckte, hat den Hersteller Herrlich & Ramuschkat bereits kontaktiert. Dieser hat daraufhin heute morgen eine Mail an alle Kunden verschickt, die konkrete Hinweise zum Schließen der Sicherheitslücke und auch ein Sicherheits-Update enthält. Da Details zur Natur der Schwachstelle bereits im Internet veröffentlicht wurden, sollten alle Nutzer von iRacer dieses Sicherheits-Update unverzüglich einspielen. Als Sofortmaßnahme kann man das /admin-Verzeichnis gegen unautorisierte Zugriffe sperren.
Quelle und Links :
http://www.heise.de/newsticker/meldung/62155
