Die populäre Wiki-Software TWiki lässt sich ohne Anmeldung aus dem Internet Systembefehle unterjubeln, die mit den Rechten des Webservers -- zumeist der User nobody -- ausgeführt werden. Die TWiki-Entwickler stellen in einem Advisory zur Lücke auch gleich Patches für verschiedene Versionen ihres Wikis bereit.
Der Fehler findet sich in der Revisionskontrollfunktion. Diese nutzt URL-Parameter, um eine Perl-Kommandozeile zusammenzustellen. Dieser Parameter wird nicht ordentlich auf Meta-Zeichen überprüft, so dass hierüber Systembefehle abgesetzt werden können. Eine beispielhafte URL findet sich ebenfalls in dem Advisory: /cgi-bin/view/Main/TWikiUsers?rev=2%20%7Cless%20/etc/passwd. Wenn der Zugang zum TWiki nicht durch andere Maßnahmen geschützt ist, könnten Angreifer diese Lücke ohne Anmeldung am System ausnutzen.
Die Entwickler empfehlen, den angebotenen Hotfix anzuwenden. Dieser soll vor genau diesem Angriff schützen, sei allerdings keine umfassende Fehlerbereinigung. Sinnvoller ist der Einsatz der fertig gepatchten TWikiRelease03Sep2004. Als weitere Alternative sollen betroffene Administratoren den Zugriff auf die TWiki-Seiten beispielsweise durch Webserver-Regeln einschränken.
Das TWiki fiel vor knapp einem Jahr schon einmal durch eine gravierende Lücke auf. Seinerzeit wurde darüber in einen Server des Chaos Computer Club (CCC) eingebrochen.
Siehe dazu auch:
* Security Advisory von den TWiki-Entwicklern
* Server des CCC gehackt Meldung auf heise Security
Quelle und Links :
http://www.heise.de/newsticker/meldung/64001
