pragmaMx Support Forum

News & Wichtiges => Hinweise zu Sicherheitslöchern & Risiken => Thema gestartet von: Andi am 16 April 2006, 19:49:36

Titel: schwere Sicherheitslücke im vwar Modul
Beitrag von: Andi am 16 April 2006, 19:49:36
Jens Ferner berichtet von einer kritischen Sicherheitslücke im beliebten vwar-Modul:
http://www.2f-cms.com/beitrag_L%FCcke+im+VWAR+Modul_460.html

Der vorgeschlagene Quickfix, womit die Request Variablen gelöscht werden sollen ist aber leider unwirksam, wenn register_globals in der php.ini auf ON steht. Dies ist leider bei den meisten PHP-Installationen der Fall.

Also dieser Fix:
unset($_GET['vwar_root']);
unset($_POST['vwar_root']);
unset($_COOKIE['vwar_root']);
unset($_REQUEST['vwar_root']);
ist unwirksam bei register_globals=on.


Ich würde folgende Änderungen vorschlagen, womit man auf jeden Fall auf der sicheren Seite ist:

In der modules/vwar/include/get_header.php diese Zeile:include ($vwar_root . "_header.php" );
durch folgende austauschen: include (dirname(dirname(__FILE__)) . "/_header.php" );

In der modules/vwar/include/get_footer.php diese Zeile:include ( $vwar_root . "_footer.php" );
durch folgende austauschen: include ( dirname(dirname(__FILE__)) . "/_footer.php" );
Titel: Re: schwere Sicherheitslücke im vwar Modul
Beitrag von: Neotry am 24 April 2006, 16:42:47
Vielen Dank für den Tipp! Bin gerade dabei es umzusetzten, aber habe nicht soo große Kenntnisse in php...

Deshalb die Frage..

include (dirname(dirname(__FILE__)) . "_header.php" );

Müssen da irgendwo die Daten von meinen Ordnern rein? Bzw. wie genau muss ich das dort eintragen.

Könnten Sie das bitte mal mit einem Beispiel posten?

Vielen Dank!

Gruß
Neotry

Titel: Re: schwere Sicherheitslücke im vwar Modul
Beitrag von: BowlingX am 24 April 2006, 19:03:34
hi,
nö, da muss nix rein, einfach so übernehmen, __FILE__ ist eine Systemkonstante für dein Verzeichnis ;)
David
Titel: Re: schwere Sicherheitslücke im vwar Modul
Beitrag von: Neotry am 24 April 2006, 20:09:21
Das Problem ist nur, wenn ich das übernehme, dann bekomme ich auf meinen Seiten endlos viele Fehlermeldungen...deshalb dachte ich, ich müsst etwas ändern..

(dirname(dirname  ---> muss auch so übernommen werden=?

gibt bei mir nur fehlermeldungen :(
Titel: Re: schwere Sicherheitslücke im vwar Modul
Beitrag von: BowlingX am 25 April 2006, 14:44:42
Hi,
was für Fehlermeldungen kommen denn dort?
David
Titel: Re: schwere Sicherheitslücke im vwar Modul
Beitrag von: Okimen am 01 Mai 2006, 07:39:54
Hallo,
hmm, wie ihr ja mittlerweile wisst, habe ich auch eigentlich wenn man es mit einem von euch vergleicht eigentlich keinerlei Ahnung! Jedenfalls noch nicht,lerne ja jeden Tag dank euch dazu.
Kann es sein, das ich dieses Modul garnicht installiert habe?
Wenn ich mit dem FTP Programm unter Modules nachsehe, steht da jedenfalls nix von vWar. Oder finde ich es unter anderem Namen, oder wie?

VG Dirk :o
Titel: Re: schwere Sicherheitslücke im vwar Modul
Beitrag von: jubilee am 01 Mai 2006, 10:20:21
ZitatKann es sein, das ich dieses Modul garnicht installiert habe?
Ja !
Es gehört nicht zum Lieferumfang des Pragmamx dazu, sondern wird hier nur zusätzlich
von einigen Usern verwendet. Darum steht hier auch die Warnung.


MfG
Titel: Re: schwere Sicherheitslücke im vwar Modul
Beitrag von: Okimen am 01 Mai 2006, 10:55:40
Gut, vielen Dank Jubilee


Vg Dirk
Titel: Re: schwere Sicherheitslücke im vwar Modul
Beitrag von: Goohr am 06 Juni 2006, 14:12:06
Hallo Zusammen!

Ich setze für meinem Clan ebenfalls das VWar-System (1.5.0) ein, und wurde leider schon mehrfach Opfer von irgendwelchen Hackern. Sie haben sich in unsere Site gehackt, und dort jeweils die index.html im Rootverzeichnis ausgetauscht. War nicht weiter wild, aber wer weiß was sie hätten machen können, wenn sie gewollt (oder gekonnt ;-) hätten...

Ergo ist das System so natürlich nicht mehr tragbar für mich. ABER...

Ich habe das VWar-System in wochenlanger Arbeit auf meine eigenen Bedürfnisse angepasst, sodass es mir jetzt kaum (und wenn dann nur unter erheblichen Aufwänden) möglich wäre, mein VWar-System auf die aktuelle Version 1.5.0R14 upzudaten. Da ich nur die Features benötige die meine VWar-Version bietet kann ich mit meiner jetzigen Version auch in Zukunft gut leben - aber sicher sollte es dann schon sein. Logisch.

Lange Rede kurzer Sinn:

Die erste Version des Quickfix habe ich ausprobiert und wurde gleich wieder gehackt. Seit ich das Herausfordern-Formular "abgestellt" habe ist nichts mehr passiert - allerdings ist das System ohne dieses Formular reichlich sinnfrei - also auch keine Lösung! Nun habe ich oben gelesen, dass es eine andere Variante des Quickfix gibt. Meine Fragen dazu:


- Hat das mal jemand getestet?
- Gibt es andere Wege, die ein PHP-nOOb auch noch nachvollziehen kann? Wenn ja - wo steht so was oder wer kann bei Fragen helfen?
- Gibt es sonst noch etwas, dass man aus Sicherheitsgesichtspunkten im VWar-System ändern sollte?


Ich habe leider wenig bis keine Ahnung von PHP, muss aber dieses System OHNE Update wieder zum Laufen kriegen. Bin echt schon ziemlich verzweifelt und brauche dringend Hilfe in dieser Sache...

:-\

Greetz & Thx
Goohr
Titel: Re: schwere Sicherheitslücke im vwar Modul
Beitrag von: Goohr am 06 Juni 2006, 14:59:51
Ein kurzer Nachtrag:

Nach Einfügen/Ändern des Codes in den beiden genannten php-Dateien erscheint folgendes ganz oben und ganz unten in meinem VWar-Formular:

Warning: Unable to access /mnt/am1/06/478/00000009/htdocs/vwar/vwar_header.php in /mnt/am1/06/478/00000009/htdocs/vwar/vwar/includes/get_header.php on line 38

Warning: Failed opening '/mnt/am1/06/478/00000009/htdocs/vwar/vwar_header.php' for inclusion (include_path='') in /mnt/am1/06/478/00000009/htdocs/vwar/vwar/includes/get_header.php on line 38

- - -

Warning: Unable to access /mnt/am1/06/478/00000009/htdocs/vwar/vwar_footer.php in /mnt/am1/06/478/00000009/htdocs/vwar/vwar/includes/get_footer.php on line 37

Warning: Failed opening '/mnt/am1/06/478/00000009/htdocs/vwar/vwar_footer.php' for inclusion (include_path='') in /mnt/am1/06/478/00000009/htdocs/vwar/vwar/includes/get_footer.php on line 37

:'(

Titel: Re: schwere Sicherheitslücke im vwar Modul
Beitrag von: Andi am 09 Juni 2006, 19:08:28
Hi :)

sorry, aber das Modul, mit all seinen Funktionen und Eigenheiten kennt hier Niemand richtig.

So ganz verstehe ich jetzt auch nicht, was du gemacht hast. Was meinst du damit?
ZitatDie erste Version des Quickfix habe ich ausprobiert.

Was hast du genau gemacht?
Titel: Re: schwere Sicherheitslücke im vwar Modul
Beitrag von: jubilee am 09 Juni 2006, 19:36:08
ZitatWas hast du genau gemacht?
Na, ich denke er hat das von Dir vorgeschlagene aus dem ersten Post
eingebaut.

MfG
Titel: Re: schwere Sicherheitslücke im vwar Modul
Beitrag von: Andi am 09 Juni 2006, 19:49:39
waaaa, eben sehe ich das....  :-X

Da fehlt ein slash vor dem Dateinamen....

Richtig wäre also:

In der modules/vwar/include/get_header.php diese Zeile:include ($vwar_root . "_header.php" );
durch folgende austauschen: include (dirname(dirname(__FILE__)) . "/_header.php" );

In der modules/vwar/include/get_footer.php diese Zeile:include ( $vwar_root . "_footer.php" );
durch folgende austauschen: include ( dirname(dirname(__FILE__)) . "/_footer.php" );


Habe den ersten Post entsprechend auch korrigiert
Titel: Re: schwere Sicherheitslücke im vwar Modul
Beitrag von: Beachy am 19 Juli 2006, 12:35:11
Danke für den Tip.
Habs eben so eingetragen und läuft gut wie bisher.
Titel: Re: schwere Sicherheitslücke im vwar Modul
Beitrag von: Andi am 15 April 2007, 00:55:48
Aus gegebenen Anlass, weisen wir darauf hin, dass auch die neueren Versionen noch nicht sicher sind!

Janek Vind "waraxe" hat in seinem neusten Advisory etliche neue Lücken aufgedeckt:
http://www.waraxe.us/advisory-48.html