Zugriffsdaten möglicherweise vom Provider im root hinterlegt

Begonnen von reddragon, 15 Februar 2010, 10:30:19

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Drucken
Nach unten Seiten1
Benutzer-Aktionen

reddragon

15 Februar 2010, 10:30:19
HI  :)

Bin gerade in Bot-trap-Forum über folgenden Link gestoßen:

http://tas2580.de/sicherheit/104-datenbankdaten-in-backups-der-config-dateien.html

Je nachdem, wie der Provider den Server eingestellt hat, kann es laut dem Artikel vorkommen, dass nach dem editieren der config.php eine config.bak im Stammverzeichnis steht, die im Klartext aufgerufen werden kann.

Das wäre dann eine CMS-unabhängige Schwachstelle

Das PMX hat der Autor nicht getestet, aber bei anderen CMS hat er ca 1% Treffer erlangt. Also sicherheitshalber mal fix checken ;)

FrankP

#1
15 Februar 2010, 12:09:17
Das hat aber nichts mit den Einstellungen des Servers zu tun, sondern mit dem Editor, mit dem der Webmaster die Datei bearbeitet. Ein Linux-Editor, der das macht und mit dem man direkt auf dem Webserver arbeitet, ist mir nicht bekannt - ich kenne aber auch nicht alle. Letztendlich ist das keine Sicherheitslücke, sondern reines Fehlverhalten des Webmasters. Da wird nix "vom Provider hinterlegt", sondern der Webmaster hat seinen Editor falsch eingestellt und den Kram ohne Überprüfung hoch geladen. Allerdings, wenn jemand tatsächlich einen Linuxeditor kennt, bei dem es diese grauslige Einstellungsmöglichkeit gibt, wäre für nen Hinweis dankbar.
Webhosting für pragmaMx www.abundus.de
Wer Butter will soll Butter kaufen, statt stundenlang auf die Milch einzudreschen und sich zu wundern, warum nur Käse rauskommt.

JoergK

#2
15 Februar 2010, 13:39:05
Hi Frank,

soweit ich mich erinnere, speichert der "joe" Backups von editierten Dateien ab.
Hab schon länger nix mehr mit Linux gemacht, drum hab ich mal eben Tante Gockel bemüht und das gefunden:

Zitat
-backpath path
    If this option is given, backup files will be stored in the specified directory instead of in each file's original directory.

http://linux.die.net/man/1/joe

Demnach wird ohne Angabe dieser Option ein Backup im selben Verzeichnis der editierten Datei gespeichert.
Gruß,
Jörg

Nobody is perfect ... so don't call me Nobody

Webfan

#3
15 Februar 2010, 16:50:39
Das bei den PragmaMxlern so beliebte Simplemachinesforum hat dieses ekelhafte Feature auch.
Es werden von den Forum Dateien Dateien mit ~ am Ende abgespeichert, zwar nicht von der settings.php aber trotzdem.
Mich stört das und ich hab das auch schon im SMF Forum bemeckert, ist aber wohl untergegangen.

grafikmurkser

#4
15 Februar 2010, 17:49:05
webfan  , warum sollte man dort darauf auch gross eingehen ?
jeder  user hat die möglichkeit dies " ab zu stellen " . einfach die funktion zum "erstellen von  sicherungsdateien " deaktivieren .. ;)
meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000

Webfan

#5
15 Februar 2010, 17:52:58
Ahhh, achso. Und wo finde ich diese Einstellung? Bin wohl blind  :red:

grafikmurkser

#6
15 Februar 2010, 17:58:56
unter Paketmanager -> Optionen :
ZitatErstelle Sicherungskopien der ersetzten Dateien mit dem Zeichen (~) am Ende des Dateinamen.
;)
meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000
Drucken
Nach oben Seiten1
Benutzer-Aktionen