pragmaMx Support Forum pragmaMx Support Forum

schwere Sicherheitslücke im vwar Modul

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
schwere Sicherheitslücke im vwar Modul
« am: 16 April 2006, 19:49:36 »
Jens Ferner berichtet von einer kritischen Sicherheitslücke im beliebten vwar-Modul:
http://www.2f-cms.com/beitrag_L%FCcke+im+VWAR+Modul_460.html

Der vorgeschlagene Quickfix, womit die Request Variablen gelöscht werden sollen ist aber leider unwirksam, wenn register_globals in der php.ini auf ON steht. Dies ist leider bei den meisten PHP-Installationen der Fall.

Also dieser Fix:
unset($_GET['vwar_root']);
unset($_POST['vwar_root']);
unset($_COOKIE['vwar_root']);
unset($_REQUEST['vwar_root']);
ist unwirksam bei register_globals=on.


Ich würde folgende Änderungen vorschlagen, womit man auf jeden Fall auf der sicheren Seite ist:

In der modules/vwar/include/get_header.php diese Zeile:include ($vwar_root . "_header.php" );durch folgende austauschen: include (dirname(dirname(__FILE__)) . "/_header.php" );
In der modules/vwar/include/get_footer.php diese Zeile:include ( $vwar_root . "_footer.php" );durch folgende austauschen: include ( dirname(dirname(__FILE__)) . "/_footer.php" );
« Letzte Änderung: 09 Juni 2006, 19:48:55 von Andi »
schön´s Grüssle, Andi

Neotry

Re: schwere Sicherheitslücke im vwar Modul
« Antwort #1 am: 24 April 2006, 16:42:47 »
Vielen Dank für den Tipp! Bin gerade dabei es umzusetzten, aber habe nicht soo große Kenntnisse in php...

Deshalb die Frage..

include (dirname(dirname(__FILE__)) . "_header.php" );

Müssen da irgendwo die Daten von meinen Ordnern rein? Bzw. wie genau muss ich das dort eintragen.

Könnten Sie das bitte mal mit einem Beispiel posten?

Vielen Dank!

Gruß
Neotry


Offline BowlingX

  • *******
  • 2.342
  • +0/-0
  • Geschlecht: Männlich
Re: schwere Sicherheitslücke im vwar Modul
« Antwort #2 am: 24 April 2006, 19:03:34 »
hi,
nö, da muss nix rein, einfach so übernehmen, __FILE__ ist eine Systemkonstante für dein Verzeichnis ;)
David
Kein Support über Mail, (ungefragter) PN oder ICQ, ausschließlich direkt im Forum!

Neotry

Re: schwere Sicherheitslücke im vwar Modul
« Antwort #3 am: 24 April 2006, 20:09:21 »
Das Problem ist nur, wenn ich das übernehme, dann bekomme ich auf meinen Seiten endlos viele Fehlermeldungen...deshalb dachte ich, ich müsst etwas ändern..

(dirname(dirname  ---> muss auch so übernommen werden=?

gibt bei mir nur fehlermeldungen :(

Offline BowlingX

  • *******
  • 2.342
  • +0/-0
  • Geschlecht: Männlich
Re: schwere Sicherheitslücke im vwar Modul
« Antwort #4 am: 25 April 2006, 14:44:42 »
Hi,
was für Fehlermeldungen kommen denn dort?
David
Kein Support über Mail, (ungefragter) PN oder ICQ, ausschließlich direkt im Forum!

Offline Okimen

  • ***
  • 146
  • +0/-0
  • Geschlecht: Männlich
  • Dieses Leben ist eines der härtesten!
Re: schwere Sicherheitslücke im vwar Modul
« Antwort #5 am: 01 Mai 2006, 07:39:54 »
Hallo,
hmm, wie ihr ja mittlerweile wisst, habe ich auch eigentlich wenn man es mit einem von euch vergleicht eigentlich keinerlei Ahnung! Jedenfalls noch nicht,lerne ja jeden Tag dank euch dazu.
Kann es sein, das ich dieses Modul garnicht installiert habe?
Wenn ich mit dem FTP Programm unter Modules nachsehe, steht da jedenfalls nix von vWar. Oder finde ich es unter anderem Namen, oder wie?

VG Dirk :o

jubilee

Re: schwere Sicherheitslücke im vwar Modul
« Antwort #6 am: 01 Mai 2006, 10:20:21 »
Zitat
Kann es sein, das ich dieses Modul garnicht installiert habe?
Ja !
Es gehört nicht zum Lieferumfang des Pragmamx dazu, sondern wird hier nur zusätzlich
von einigen Usern verwendet. Darum steht hier auch die Warnung.


MfG

Offline Okimen

  • ***
  • 146
  • +0/-0
  • Geschlecht: Männlich
  • Dieses Leben ist eines der härtesten!
Re: schwere Sicherheitslücke im vwar Modul
« Antwort #7 am: 01 Mai 2006, 10:55:40 »
Gut, vielen Dank Jubilee


Vg Dirk

Offline Goohr

  • *
  • 2
  • +0/-0
Re: schwere Sicherheitslücke im vwar Modul
« Antwort #8 am: 06 Juni 2006, 14:12:06 »
Hallo Zusammen!

Ich setze für meinem Clan ebenfalls das VWar-System (1.5.0) ein, und wurde leider schon mehrfach Opfer von irgendwelchen Hackern. Sie haben sich in unsere Site gehackt, und dort jeweils die index.html im Rootverzeichnis ausgetauscht. War nicht weiter wild, aber wer weiß was sie hätten machen können, wenn sie gewollt (oder gekonnt ;-) hätten...

Ergo ist das System so natürlich nicht mehr tragbar für mich. ABER...

Ich habe das VWar-System in wochenlanger Arbeit auf meine eigenen Bedürfnisse angepasst, sodass es mir jetzt kaum (und wenn dann nur unter erheblichen Aufwänden) möglich wäre, mein VWar-System auf die aktuelle Version 1.5.0R14 upzudaten. Da ich nur die Features benötige die meine VWar-Version bietet kann ich mit meiner jetzigen Version auch in Zukunft gut leben - aber sicher sollte es dann schon sein. Logisch.

Lange Rede kurzer Sinn:

Die erste Version des Quickfix habe ich ausprobiert und wurde gleich wieder gehackt. Seit ich das Herausfordern-Formular "abgestellt" habe ist nichts mehr passiert - allerdings ist das System ohne dieses Formular reichlich sinnfrei - also auch keine Lösung! Nun habe ich oben gelesen, dass es eine andere Variante des Quickfix gibt. Meine Fragen dazu:


- Hat das mal jemand getestet?
- Gibt es andere Wege, die ein PHP-nOOb auch noch nachvollziehen kann? Wenn ja - wo steht so was oder wer kann bei Fragen helfen?
- Gibt es sonst noch etwas, dass man aus Sicherheitsgesichtspunkten im VWar-System ändern sollte?


Ich habe leider wenig bis keine Ahnung von PHP, muss aber dieses System OHNE Update wieder zum Laufen kriegen. Bin echt schon ziemlich verzweifelt und brauche dringend Hilfe in dieser Sache...

 :-\

Greetz & Thx
Goohr
« Letzte Änderung: 06 Juni 2006, 14:23:17 von Goohr »

Offline Goohr

  • *
  • 2
  • +0/-0
Re: schwere Sicherheitslücke im vwar Modul
« Antwort #9 am: 06 Juni 2006, 14:59:51 »
Ein kurzer Nachtrag:

Nach Einfügen/Ändern des Codes in den beiden genannten php-Dateien erscheint folgendes ganz oben und ganz unten in meinem VWar-Formular:

Warning: Unable to access /mnt/am1/06/478/00000009/htdocs/vwar/vwar_header.php in /mnt/am1/06/478/00000009/htdocs/vwar/vwar/includes/get_header.php on line 38

Warning: Failed opening '/mnt/am1/06/478/00000009/htdocs/vwar/vwar_header.php' for inclusion (include_path='') in /mnt/am1/06/478/00000009/htdocs/vwar/vwar/includes/get_header.php on line 38


- - -

Warning: Unable to access /mnt/am1/06/478/00000009/htdocs/vwar/vwar_footer.php in /mnt/am1/06/478/00000009/htdocs/vwar/vwar/includes/get_footer.php on line 37

Warning: Failed opening '/mnt/am1/06/478/00000009/htdocs/vwar/vwar_footer.php' for inclusion (include_path='') in /mnt/am1/06/478/00000009/htdocs/vwar/vwar/includes/get_footer.php on line 37


 :'(


Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
Re: schwere Sicherheitslücke im vwar Modul
« Antwort #10 am: 09 Juni 2006, 19:08:28 »
Hi :)

sorry, aber das Modul, mit all seinen Funktionen und Eigenheiten kennt hier Niemand richtig.

So ganz verstehe ich jetzt auch nicht, was du gemacht hast. Was meinst du damit?
Zitat
Die erste Version des Quickfix habe ich ausprobiert.

Was hast du genau gemacht?
schön´s Grüssle, Andi

jubilee

Re: schwere Sicherheitslücke im vwar Modul
« Antwort #11 am: 09 Juni 2006, 19:36:08 »
Zitat
Was hast du genau gemacht?
Na, ich denke er hat das von Dir vorgeschlagene aus dem ersten Post
eingebaut.

MfG

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
Re: schwere Sicherheitslücke im vwar Modul
« Antwort #12 am: 09 Juni 2006, 19:49:39 »
waaaa, eben sehe ich das....  :-X

Da fehlt ein slash vor dem Dateinamen....

Richtig wäre also:

In der modules/vwar/include/get_header.php diese Zeile:include ($vwar_root . "_header.php" );durch folgende austauschen: include (dirname(dirname(__FILE__)) . "/_header.php" );
In der modules/vwar/include/get_footer.php diese Zeile:include ( $vwar_root . "_footer.php" );durch folgende austauschen: include ( dirname(dirname(__FILE__)) . "/_footer.php" );

Habe den ersten Post entsprechend auch korrigiert
schön´s Grüssle, Andi

Offline Beachy

  • ***
  • 106
  • +0/-0
  • Geschlecht: Männlich
Re: schwere Sicherheitslücke im vwar Modul
« Antwort #13 am: 19 Juli 2006, 12:35:11 »
Danke für den Tip.
Habs eben so eingetragen und läuft gut wie bisher.

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
Re: schwere Sicherheitslücke im vwar Modul
« Antwort #14 am: 15 April 2007, 00:55:48 »
Aus gegebenen Anlass, weisen wir darauf hin, dass auch die neueren Versionen noch nicht sicher sind!

Janek Vind "waraxe" hat in seinem neusten Advisory etliche neue Lücken aufgedeckt:
http://www.waraxe.us/advisory-48.html
schön´s Grüssle, Andi