schwere Sicherheitslücke im vwar Modul

[Andi]

Jens Ferner berichtet von einer kritischen Sicherheitslücke im beliebten vwar-Modul:
http://www.2f-cms.com/beitrag_L%FCcke+im+VWAR+Modul_460.html

Der vorgeschlagene Quickfix, womit die Request Variablen gelöscht werden sollen ist aber leider unwirksam, wenn register_globals in der php.ini auf ON steht. Dies ist leider bei den meisten PHP-Installationen der Fall.

Also dieser Fix:

Code: [Auswählen]

unset($_GET['vwar_root']);
unset($_POST['vwar_root']);
unset($_COOKIE['vwar_root']);
unset($_REQUEST['vwar_root']);
ist unwirksam bei register_globals=on.


Ich würde folgende Änderungen vorschlagen, womit man auf jeden Fall auf der sicheren Seite ist:

In der modules/vwar/include/get_header.php diese Zeile:

Code: [Auswählen]

include ($vwar_root . "_header.php" );durch folgende austauschen:

Code: [Auswählen]

include (dirname(dirname(__FILE__)) . "/_header.php" );
In der modules/vwar/include/get_footer.php diese Zeile:

Code: [Auswählen]

include ( $vwar_root . "_footer.php" );durch folgende austauschen:

Code: [Auswählen]

include ( dirname(dirname(__FILE__)) . "/_footer.php" );

[Neotry]

Vielen Dank für den Tipp! Bin gerade dabei es umzusetzten, aber habe nicht soo große Kenntnisse in php...

Deshalb die Frage..

include (dirname(dirname(__FILE__)) . "_header.php" );

Müssen da irgendwo die Daten von meinen Ordnern rein? Bzw. wie genau muss ich das dort eintragen.

Könnten Sie das bitte mal mit einem Beispiel posten?

Vielen Dank!

Gruß
Neotry

[BowlingX]

hi,
nö, da muss nix rein, einfach so übernehmen, __FILE__ ist eine Systemkonstante für dein Verzeichnis
David

[Neotry]

Das Problem ist nur, wenn ich das übernehme, dann bekomme ich auf meinen Seiten endlos viele Fehlermeldungen...deshalb dachte ich, ich müsst etwas ändern..

(dirname(dirname  ---> muss auch so übernommen werden=?

gibt bei mir nur fehlermeldungen

[BowlingX]

Hi,
was für Fehlermeldungen kommen denn dort?
David

[Okimen]

Hallo,
hmm, wie ihr ja mittlerweile wisst, habe ich auch eigentlich wenn man es mit einem von euch vergleicht eigentlich keinerlei Ahnung! Jedenfalls noch nicht,lerne ja jeden Tag dank euch dazu.
Kann es sein, das ich dieses Modul garnicht installiert habe?
Wenn ich mit dem FTP Programm unter Modules nachsehe, steht da jedenfalls nix von vWar. Oder finde ich es unter anderem Namen, oder wie?

VG Dirk

[jubilee]

Kann es sein, das ich dieses Modul garnicht installiert habe?

Ja !
Es gehört nicht zum Lieferumfang des Pragmamx dazu, sondern wird hier nur zusätzlich
von einigen Usern verwendet. Darum steht hier auch die Warnung.


MfG

[Okimen]

Gut, vielen Dank Jubilee


Vg Dirk

[Goohr]

Hallo Zusammen!

Ich setze für meinem Clan ebenfalls das VWar-System (1.5.0) ein, und wurde leider schon mehrfach Opfer von irgendwelchen Hackern. Sie haben sich in unsere Site gehackt, und dort jeweils die index.html im Rootverzeichnis ausgetauscht. War nicht weiter wild, aber wer weiß was sie hätten machen können, wenn sie gewollt (oder gekonnt ;-) hätten...

Ergo ist das System so natürlich nicht mehr tragbar für mich. ABER...

Ich habe das VWar-System in wochenlanger Arbeit auf meine eigenen Bedürfnisse angepasst, sodass es mir jetzt kaum (und wenn dann nur unter erheblichen Aufwänden) möglich wäre, mein VWar-System auf die aktuelle Version 1.5.0R14 upzudaten. Da ich nur die Features benötige die meine VWar-Version bietet kann ich mit meiner jetzigen Version auch in Zukunft gut leben - aber sicher sollte es dann schon sein. Logisch.

Lange Rede kurzer Sinn:

Die erste Version des Quickfix habe ich ausprobiert und wurde gleich wieder gehackt. Seit ich das Herausfordern-Formular "abgestellt" habe ist nichts mehr passiert - allerdings ist das System ohne dieses Formular reichlich sinnfrei - also auch keine Lösung! Nun habe ich oben gelesen, dass es eine andere Variante des Quickfix gibt. Meine Fragen dazu:


- Hat das mal jemand getestet?
- Gibt es andere Wege, die ein PHP-nOOb auch noch nachvollziehen kann? Wenn ja - wo steht so was oder wer kann bei Fragen helfen?
- Gibt es sonst noch etwas, dass man aus Sicherheitsgesichtspunkten im VWar-System ändern sollte?


Ich habe leider wenig bis keine Ahnung von PHP, muss aber dieses System OHNE Update wieder zum Laufen kriegen. Bin echt schon ziemlich verzweifelt und brauche dringend Hilfe in dieser Sache...

 

Greetz & Thx
Goohr

[Goohr]

Ein kurzer Nachtrag:

Nach Einfügen/Ändern des Codes in den beiden genannten php-Dateien erscheint folgendes ganz oben und ganz unten in meinem VWar-Formular:

Warning: Unable to access /mnt/am1/06/478/00000009/htdocs/vwar/vwar_header.php in /mnt/am1/06/478/00000009/htdocs/vwar/vwar/includes/get_header.php on line 38

Warning: Failed opening '/mnt/am1/06/478/00000009/htdocs/vwar/vwar_header.php' for inclusion (include_path='') in /mnt/am1/06/478/00000009/htdocs/vwar/vwar/includes/get_header.php on line 38

- - -

Warning: Unable to access /mnt/am1/06/478/00000009/htdocs/vwar/vwar_footer.php in /mnt/am1/06/478/00000009/htdocs/vwar/vwar/includes/get_footer.php on line 37

Warning: Failed opening '/mnt/am1/06/478/00000009/htdocs/vwar/vwar_footer.php' for inclusion (include_path='') in /mnt/am1/06/478/00000009/htdocs/vwar/vwar/includes/get_footer.php on line 37

 

[Andi]

Hi

sorry, aber das Modul, mit all seinen Funktionen und Eigenheiten kennt hier Niemand richtig.

So ganz verstehe ich jetzt auch nicht, was du gemacht hast. Was meinst du damit?

Die erste Version des Quickfix habe ich ausprobiert.

Was hast du genau gemacht?

[jubilee]

Was hast du genau gemacht?

Na, ich denke er hat das von Dir vorgeschlagene aus dem ersten Post
eingebaut.

MfG

[Andi]

waaaa, eben sehe ich das.... 

Da fehlt ein slash vor dem Dateinamen....

Richtig wäre also:

In der modules/vwar/include/get_header.php diese Zeile:

Code: [Auswählen]

include ($vwar_root . "_header.php" );durch folgende austauschen:

Code: [Auswählen]

include (dirname(dirname(__FILE__)) . "/_header.php" );
In der modules/vwar/include/get_footer.php diese Zeile:

Code: [Auswählen]

include ( $vwar_root . "_footer.php" );durch folgende austauschen:

Code: [Auswählen]

include ( dirname(dirname(__FILE__)) . "/_footer.php" );

Habe den ersten Post entsprechend auch korrigiert

[Beachy]

Danke für den Tip.
Habs eben so eingetragen und läuft gut wie bisher.

[Andi]

Aus gegebenen Anlass, weisen wir darauf hin, dass auch die neueren Versionen noch nicht sicher sind!

Janek Vind "waraxe" hat in seinem neusten Advisory etliche neue Lücken aufgedeckt:
http://www.waraxe.us/advisory-48.html