Thema: Sicherheitslücke in Mambo

[SiLæncer]

Durch eine Sicherheitslücke im Content-Managementsystem Mambo ist es für jeden Nutzer möglich, Administratorrechte erlangen. Betroffen ist sowohl die alte Version 4.5 als auch die neue 4.5.1. Mehrere globale Variablen sind nicht ausreichend geschützt; Angreifer können das ausnutzen, um Schreibzugriff auf die Datenbank zu erhalten. Mambo stellt Patches für beide Versionen über den Download-Bereich zur Verfügung.

Ende Dezember wurde eine ähnliche Schwachstelle im Content Management System N/X bekannt, über die prompt zahlreiche Websites manipuliert worden sind. Es stellte sich heraus, dass ein Wurm anfällige Systeme über Suchmaschinen ausfindig gemacht hat. Da mit einer Zunahme solcher PHP-Schädlinge zu rechnen ist, sollten Mambo-Administratoren schnellstmöglichst die Updates einspielen.

Quelle und Links : http://www.heise.de/newsticker/meldung/55986

[SiLæncer]

Nicht immer erhöht unter PHP das Deaktivieren von register_globals die Sicherheit. Manchmal öffnet sich dadurch erst eine Schwachstelle. So auch im Falle des Content Management System Mambo, das laut eines Postings auf der Sicherheits-Mailing-Liste Full Disclosure eine Schwachstelle enthält, mit der es Angreifern möglich ist, eigenen Code auf dem Server auszuführen.

Ursache des Problems soll die Emulationsschicht des Moduls globals.php sein, in dem sich bestimmte Arrays überchreiben lassen. Laut Peter Tachatte, Entdecker der Lücke, sollen sich dadurch beliebige lokale und externe Skripte über den Parameter mosConfig_absolute_path einbinden lassen. Für einen erfolgreichen Angriff muss register_global=off definiert sein. Der Sicherheitsdienstleister Secunia bestätigt, dass die aktuelle Mambo-Version 4.5.2.3 betroffen ist, wahrscheinlich auch vorhergehende.

Ein Patch steht derzeit nicht zur Verfügung. Ob der Hersteller informiert wurde, gibt Tachatte in seinem Advisory nicht an.

Siehe dazu auch:

    * Mambo remote code execution Advisory von Tachatte

Quelle und Links : http://www.heise.de/newsticker/meldung/66325

[SiLæncer]

Der Linux-Wurm Linux/Elxbot nutzt eine kürzlich gemeldete Schwachstelle im Mambo-Content-Management-System, um Server zu infizieren und sich dort einzunisten. Nach der Infektion horcht der Wurm auf die Befehle des Botnetz-Betreibers und bietet diesem eine Fülle von (Schad-)Funktionen an.

Als Einfallstor dient die Lücke in der register_globals-Emulation von Mambo, wodurch sich beliebige Skripte in das CMS einschleusen und zur Ausführung bringen lassen. Die eigentliche Funktion der Emulation ist es, nicht auf die gefährliche PHP-Option register_globals angewiesen zu sein, die Angreifern ebenfalls Tür und Tor öffnet.

Der Wurm nutzt die Suchmaschine Google, um verwundbare Systeme aufzuspüren. Hat er ein System infiziert, baut er eine Verbindung zu einem IRC-Server auf und horcht dort auf die Befehle seines Herrchens. Der Wurm hat Funktionen integriert, die das Ausführen beliebiger Befehle, das Öffnen einer Shell, TCP-Floods, UDP-Floods, HTTP-Floods sowie Portscans erlauben; außerdem kann der Wurm auf Anfrage auch weitere Ziele über Google suchen.

Die Mambo-Entwickler haben laut Changelog das Sicherheitsleck am 23. November gestopft, die seit dem 30. November verfügbare Version 4.5.3 sollte daher nicht anfällig sein. Administratoren sollten zügig die eingesetzte Version aktualisieren.

Siehe dazu auch:

    * Mambo worm in the wild von Outpost24
    * Download der aktuellen Mambo-Versionen
    * Ankündigung der fehlerbereinigten Mambo-Version
    * Kritische Lücke in Content Management System Mambo, Meldung auf heise Security

Quelle und Links : http://www.heise.de/newsticker/meldung/67006

[SiLæncer]

Seit Ende vergangener Woche kursieren neue Varianten des Linux-Wurms Lupper im Internet. Im Bezeichnungswirrwarr der Antivirenhersteller tauchen sie unter diversen Namen auf: Plupii.C, Lupper.worm.b, Lupper-I oder auch Mare.d. Die neuen Varianten unterscheiden sich in erster Linie durch die Benennung der nachgeladenen Schadprogramme sowie des installierten Trojaner-Typs.

Die erste Lupper-Generation nutzte die längst behobene XMLRPC-Lücke beispielsweise in Wordpress, TikiWiki, phpGroupware und Drupal sowie Schwachstellen in AWStats und Webhint aus. Die neuen Lupper-Varianten versuchen zusätzlich, über eine Lücke im freien Content-Management-System Mambo in Webserver einzudringen. Einmal dort zur Ausführung gelangt, beginnen sie mit dem Nachladen und Starten von weiteren Schadprogrammen, darunter auch der erwähnte Trojaner. Dieser verbindet sich mit einem IRC-Server und wartet dort auf weitere Befehle, beispielsweise für Denial-Of-Service-Angriffe gegen andere Rechner. Befallene Rechner werden dadurch Teil eines Bot-Netzes.

Betroffene Linux-Server sind in der Regel an verdächtigen, ausführbaren Dateien im /tmp-Verzeichnis und gleichnamigen laufenden Prozessen erkennbar. Mögliche Namen sind unter anderem gicumz, httpd, https, cb und ping.txt. Ebenfalls auffällig sind ein offener UDP-Port 27015 sowie ausgehende IRC-Verbindungen nach Port 6667, die sich mit dem Befehl "netstat -an --inet" auflisten lassen. Die der Redaktion vorliegende Lupper-Variante ist darüber hinaus mit dem Virus RST.b infiziert. Dieser verhindert unter Umständen eine ordnungsgemäße Ausführung des Wurms unter aktuellen Linux-Kerneln der Serie 2.6.

Wer noch immer eine verwundbare Mambo-Installation betreibt, sollte umgehend eine aktuelle Version installieren und seinen Server auf mögliche Einbruchspuren untersuchen. Zumindest die nachgeladenen IRC-Trojaner werden in der Regel von allen gängigen Antivirenprogrammen erkannt.

Siehe dazu auch:

    * Kritische Lücke in Content Management System Mambo
    * Schwachstellen in PHP-Modulen gefährden zahlreiche Webapplikationen
    * Website-Statistiker AWStats führt beliebige Befehle aus

Quelle und Links : http://www.heise.de/security/news/meldung/69855

[SiLæncer]

Die Entwickler des Content Management System Mambo haben einen Patch für die Versionen 4.5.3 und 4.5.3h veröffentlicht, der eine kritische Sicherheitslücke schließen soll. Laut Ankündigung auf mamboserver.com kann ein Angreifer darüber in eine Mambo-Installation eindringen und das System unter seine Kontrolle bringen. Die nun geschlossene Lücke soll schon sehr lange in Mambo enthalten sein. Nähere Angaben machen die Entwickler nicht.

Der Fehler ist nicht in den Joomla-Versionen 1.0.x, einer Abspaltung ehemaliger Mambo-Entwickler, zu finden. Die Entdecker der Lücke, GulfTech Research And Development, wollen in den nächsten Tagen weitere Einzelheiten zu dem Problem veröffentlichen.

Der Patch enthält fehlerbereinigte Versionen der Dateien /components/com_content/content.php und /includes/mambo.php. Die Entwickler empfehlen Anwendern von Mambo vor 4.5.3 einen Upgrade, da für ältere Versionen offenbar kein Patch zu Verfügung steht.

Siehe dazu auch:

    * Potential Vulnerability Reported, Patch Released , Fehlerbericht auf mamboserver.com

Quelle und Links : http://www.heise.de/newsticker/meldung/69994

[spoke1]

Betreiber des Content-Management-Systems Mambo kommen nicht zur Ruhe, sofern sie Zusatzmodule von Drittherstellern auf ihren Servern laufen lassen. Allein im Monat Juli wurden in zwölf Modulen Sicherheitslücken bekannt, mit denen Angreifer über das Netz die Kontrolle über das CMS erlangen können. Ursache des Problems ist in den meisten Fällen die fehlende Filterung des Parameters mosConfig_absolute_path, über den sich mittels eigener Pfadangaben beliebige PHP-Skripte von lokalen Ressourcen oder externen Server einbinden und ausführen lassen.

mehr: http://www.heise.de/newsticker/meldung/75880

[SiLæncer]

In dem auf PHP und MySQL beruhenden Content-Management-System Mambo stecken laut einem Fehlerbericht vier Schwachstellen, durch die Angreifer vertrauliche Daten ausspähen oder das System beschädigen können. So filtert das Skript mambots/editors/mostlyce/jscripts/tiny_mce/filemanager/connectors/php/connector.php den Inhalt des Parameters file[NewFile][tmp_name] nicht richtig, sodass sich durch spezielle Angaben Dateien auf dem Server löschen lassen, etwa die Datei configuration.php. Sofern der Administrator das Mambo-Installationsverzeichnis nicht gelöscht oder umbenannt hat, soll es durch das Hochladen einer manipulierten Konfigurationsdatei sogar möglich sein, eine Remote-Datenbank in das System einzubinden. Angreifer könnten dann beliebige Inhalte in das CMS einblenden. Für eine erfolgreiche Attacke muss allerdings der Image Manager im Wurzelverzeichnis des Webservers liegen.

Darüber hinaus gibt es in dem Skript connector.php eine Cross-Site-Scripting- (XSS) und eine Cross-Site-Request-Forgery-Lücke (CSRF), mit der Angreifer JavaScript-Code im Browser des Anwenders im Kontext des Mambo-Servers ausführen können. Die Konsequenzen von XSS-Lücken beschreibt der heise-Security-Artikel "Passwortklau für Dummies ... oder warum Cross Site Scripting wirklich ein Problem ist". Über die CSRF-Lücke lässt sich beispielsweise ein Admin-Konto hinzufügen, wenn der ursprüngliche Administrator am Mambo-Server angemeldet ist und in einem anderen Browser-Fenster eine präparierte Webseite ansurft. Eine ähnliche Lücke wurde bereits vor zwei Wochen im Mambo-Fork Joomla beseitigt.

Schließlich führt der Bericht noch eine Schwachstelle auf, mit der sich der Installationspfad herausfinden lässt, was Angreifer für weitere Manipulationsversuche ausnutzen können. Die Fehler wurden in Version 4.6.3 gefunden, vorherige Versionen sind wahrscheinlich ebenfalls verwundbar. Ein offizielles Update gibt es noch nicht. Abhilfe schafft es unter Umständen, den Zugriff auf das Connector-Skript mittels .htacces zu beschränken. Bereits Ende Januar wurden im Mambo-Server vier Sicherheitslücken geschlossen.

Quelle : www.heise.de