schwere Sicherheitslücke im vwar Modul

Begonnen von Andi, 16 April 2006, 19:49:36

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Andi

Jens Ferner berichtet von einer kritischen Sicherheitslücke im beliebten vwar-Modul:
http://www.2f-cms.com/beitrag_L%FCcke+im+VWAR+Modul_460.html

Der vorgeschlagene Quickfix, womit die Request Variablen gelöscht werden sollen ist aber leider unwirksam, wenn register_globals in der php.ini auf ON steht. Dies ist leider bei den meisten PHP-Installationen der Fall.

Also dieser Fix:
unset($_GET['vwar_root']);
unset($_POST['vwar_root']);
unset($_COOKIE['vwar_root']);
unset($_REQUEST['vwar_root']);
ist unwirksam bei register_globals=on.


Ich würde folgende Änderungen vorschlagen, womit man auf jeden Fall auf der sicheren Seite ist:

In der modules/vwar/include/get_header.php diese Zeile:include ($vwar_root . "_header.php" );
durch folgende austauschen: include (dirname(dirname(__FILE__)) . "/_header.php" );

In der modules/vwar/include/get_footer.php diese Zeile:include ( $vwar_root . "_footer.php" );
durch folgende austauschen: include ( dirname(dirname(__FILE__)) . "/_footer.php" );
schön´s Grüssle, Andi

Neotry

Vielen Dank für den Tipp! Bin gerade dabei es umzusetzten, aber habe nicht soo große Kenntnisse in php...

Deshalb die Frage..

include (dirname(dirname(__FILE__)) . "_header.php" );

Müssen da irgendwo die Daten von meinen Ordnern rein? Bzw. wie genau muss ich das dort eintragen.

Könnten Sie das bitte mal mit einem Beispiel posten?

Vielen Dank!

Gruß
Neotry


BowlingX

hi,
nö, da muss nix rein, einfach so übernehmen, __FILE__ ist eine Systemkonstante für dein Verzeichnis ;)
David
Kein Support über Mail, (ungefragter) PN oder ICQ, ausschließlich direkt im Forum!

Neotry

Das Problem ist nur, wenn ich das übernehme, dann bekomme ich auf meinen Seiten endlos viele Fehlermeldungen...deshalb dachte ich, ich müsst etwas ändern..

(dirname(dirname  ---> muss auch so übernommen werden=?

gibt bei mir nur fehlermeldungen :(

BowlingX

Hi,
was für Fehlermeldungen kommen denn dort?
David
Kein Support über Mail, (ungefragter) PN oder ICQ, ausschließlich direkt im Forum!

Okimen

Hallo,
hmm, wie ihr ja mittlerweile wisst, habe ich auch eigentlich wenn man es mit einem von euch vergleicht eigentlich keinerlei Ahnung! Jedenfalls noch nicht,lerne ja jeden Tag dank euch dazu.
Kann es sein, das ich dieses Modul garnicht installiert habe?
Wenn ich mit dem FTP Programm unter Modules nachsehe, steht da jedenfalls nix von vWar. Oder finde ich es unter anderem Namen, oder wie?

VG Dirk :o

jubilee

ZitatKann es sein, das ich dieses Modul garnicht installiert habe?
Ja !
Es gehört nicht zum Lieferumfang des Pragmamx dazu, sondern wird hier nur zusätzlich
von einigen Usern verwendet. Darum steht hier auch die Warnung.


MfG

Okimen


Goohr

#8
Hallo Zusammen!

Ich setze für meinem Clan ebenfalls das VWar-System (1.5.0) ein, und wurde leider schon mehrfach Opfer von irgendwelchen Hackern. Sie haben sich in unsere Site gehackt, und dort jeweils die index.html im Rootverzeichnis ausgetauscht. War nicht weiter wild, aber wer weiß was sie hätten machen können, wenn sie gewollt (oder gekonnt ;-) hätten...

Ergo ist das System so natürlich nicht mehr tragbar für mich. ABER...

Ich habe das VWar-System in wochenlanger Arbeit auf meine eigenen Bedürfnisse angepasst, sodass es mir jetzt kaum (und wenn dann nur unter erheblichen Aufwänden) möglich wäre, mein VWar-System auf die aktuelle Version 1.5.0R14 upzudaten. Da ich nur die Features benötige die meine VWar-Version bietet kann ich mit meiner jetzigen Version auch in Zukunft gut leben - aber sicher sollte es dann schon sein. Logisch.

Lange Rede kurzer Sinn:

Die erste Version des Quickfix habe ich ausprobiert und wurde gleich wieder gehackt. Seit ich das Herausfordern-Formular "abgestellt" habe ist nichts mehr passiert - allerdings ist das System ohne dieses Formular reichlich sinnfrei - also auch keine Lösung! Nun habe ich oben gelesen, dass es eine andere Variante des Quickfix gibt. Meine Fragen dazu:


- Hat das mal jemand getestet?
- Gibt es andere Wege, die ein PHP-nOOb auch noch nachvollziehen kann? Wenn ja - wo steht so was oder wer kann bei Fragen helfen?
- Gibt es sonst noch etwas, dass man aus Sicherheitsgesichtspunkten im VWar-System ändern sollte?


Ich habe leider wenig bis keine Ahnung von PHP, muss aber dieses System OHNE Update wieder zum Laufen kriegen. Bin echt schon ziemlich verzweifelt und brauche dringend Hilfe in dieser Sache...

:-\

Greetz & Thx
Goohr

Goohr

Ein kurzer Nachtrag:

Nach Einfügen/Ändern des Codes in den beiden genannten php-Dateien erscheint folgendes ganz oben und ganz unten in meinem VWar-Formular:

Warning: Unable to access /mnt/am1/06/478/00000009/htdocs/vwar/vwar_header.php in /mnt/am1/06/478/00000009/htdocs/vwar/vwar/includes/get_header.php on line 38

Warning: Failed opening '/mnt/am1/06/478/00000009/htdocs/vwar/vwar_header.php' for inclusion (include_path='') in /mnt/am1/06/478/00000009/htdocs/vwar/vwar/includes/get_header.php on line 38


- - -

Warning: Unable to access /mnt/am1/06/478/00000009/htdocs/vwar/vwar_footer.php in /mnt/am1/06/478/00000009/htdocs/vwar/vwar/includes/get_footer.php on line 37

Warning: Failed opening '/mnt/am1/06/478/00000009/htdocs/vwar/vwar_footer.php' for inclusion (include_path='') in /mnt/am1/06/478/00000009/htdocs/vwar/vwar/includes/get_footer.php on line 37


:'(


Andi

Hi :)

sorry, aber das Modul, mit all seinen Funktionen und Eigenheiten kennt hier Niemand richtig.

So ganz verstehe ich jetzt auch nicht, was du gemacht hast. Was meinst du damit?
ZitatDie erste Version des Quickfix habe ich ausprobiert.

Was hast du genau gemacht?
schön´s Grüssle, Andi

jubilee

ZitatWas hast du genau gemacht?
Na, ich denke er hat das von Dir vorgeschlagene aus dem ersten Post
eingebaut.

MfG

Andi

waaaa, eben sehe ich das....  :-X

Da fehlt ein slash vor dem Dateinamen....

Richtig wäre also:

In der modules/vwar/include/get_header.php diese Zeile:include ($vwar_root . "_header.php" );
durch folgende austauschen: include (dirname(dirname(__FILE__)) . "/_header.php" );

In der modules/vwar/include/get_footer.php diese Zeile:include ( $vwar_root . "_footer.php" );
durch folgende austauschen: include ( dirname(dirname(__FILE__)) . "/_footer.php" );


Habe den ersten Post entsprechend auch korrigiert
schön´s Grüssle, Andi

Beachy

Danke für den Tip.
Habs eben so eingetragen und läuft gut wie bisher.

Andi

Aus gegebenen Anlass, weisen wir darauf hin, dass auch die neueren Versionen noch nicht sicher sind!

Janek Vind "waraxe" hat in seinem neusten Advisory etliche neue Lücken aufgedeckt:
http://www.waraxe.us/advisory-48.html
schön´s Grüssle, Andi