Moin,
zufällig heute wegen was anderem in den logs gestöbert, und diverse exploit Versuche über REX[INCLUDE_PATH] entdeckt.. kurz gegoogelt, und es finden sich einige recht aktuelle Meldungen dazu.. die evtl. sachlichste:
http://secunia.com/advisories/39492/
Ist da was konkreteres hier bekannt, besteht Handlungsbedarf?
Soweit ich mir die logs angesehen hab, ist wohl keiner damit durchgekommen, aber wer weiß.. 8-/
lg,
Jan
Hallo,
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
Wer einen unsicheren Server hat, der könnte eventuell Probleme bekommen.
Ich habe den Weg von $REX['INCLUDE_PATH'] gerade zurückverfolgt und konnte keine Schwachstelle finden.
Probleme gibt es immer nur dann, wenn Include-Dateien direkt aufgerufen und z. B. über register_globals Variablen eingeschleust werden können.
Das betrifft dann aber nicht nur die zwei Dateien...
Ich habe den Weg von $REX['INCLUDE_PATH'] gerade zurückverfolgt und konnte keine Schwachstelle finden.
Probleme gibt es immer nur dann, wenn Include-Dateien direkt aufgerufen und z. B. über register_globals Variablen eingeschleust werden können.
Das betrifft dann aber nicht nur die zwei Dateien...
![[ externes Bild ]](http://maumha.de/muh/schaf.gif){kind=link}
-
Jan.Kristinus
- Admin
- Beiträge: 2166
- Registriert: 24. Aug 2004, 22:11
- Wohnort: Frankfurt
- Kontaktdaten: ICQ Website
da gibt es auch keinen fehler, "nur" ein problem bei falscher verwendung von redaxo.
Grundproblem ist, dass diese Tests davon ausgehen, dass die .htaccess im include ordner nciht greift, und somit einzelne dateien innerhalb dieses ordners aufgerufen werden können. wenn dies so ist, also jemand die .htaccess vergessen hat und das setup script nicht ausgeführt hat, sondern "irgendwie" anders redaxo aufgespielt hat (z.b. durch kopieren von einem auf den anderen server und nur durch ändern der master.inc.php), dann kann dies passieren. aber das ist dann eine fehlerhafte installation oder inkorrekte verwendung.
es gibt bei korrekter verwendung keinen mir bekannten exploit.
lg
jan
Grundproblem ist, dass diese Tests davon ausgehen, dass die .htaccess im include ordner nciht greift, und somit einzelne dateien innerhalb dieses ordners aufgerufen werden können. wenn dies so ist, also jemand die .htaccess vergessen hat und das setup script nicht ausgeführt hat, sondern "irgendwie" anders redaxo aufgespielt hat (z.b. durch kopieren von einem auf den anderen server und nur durch ändern der master.inc.php), dann kann dies passieren. aber das ist dann eine fehlerhafte installation oder inkorrekte verwendung.
es gibt bei korrekter verwendung keinen mir bekannten exploit.
lg
jan
Yakamara Media GmbH & Co. KG | Kaiserstrasse 69 | 60329 Frankfurt
Tel.: 069-900.20.60.30
http://www.yakamara.de/
Tel.: 069-900.20.60.30
http://www.yakamara.de/
Im Zusammenhang mit globalen Variablen sollte auch der Code in "function.rex_mquotes.inc.php" nochmal überarbeitet werden. Wenn Magic Quotes GPC auf off steht, werden dort REQUEST, POST und GET Variablen in den globalen Kontext importiert.
Besser wäre als Grundvorrausssetzung:
1. Magic Quotes GPC = OFF
2. Register Globals = OFF
3. function.rex_mquotes.inc.php ersatzlos streichen
4. Durchgehend kontextgerechtes Quoten (zb. DB-Zugriffe)
Besser wäre als Grundvorrausssetzung:
1. Magic Quotes GPC = OFF
2. Register Globals = OFF
3. function.rex_mquotes.inc.php ersatzlos streichen
4. Durchgehend kontextgerechtes Quoten (zb. DB-Zugriffe)
about: Enterprise Development
-
Jan.Kristinus
- Admin
- Beiträge: 2166
- Registriert: 24. Aug 2004, 22:11
- Wohnort: Frankfurt
- Kontaktdaten: ICQ Website
Hallo,
vollkommen richtig.. Die aktuelle Version 4.2.1 sollte diese globalen Variablen eigentlich auch nicht mehr nutzen, wir haben aus Kompatibilitaetsgründen dies noch wegen Modulen und älteren AddOns dringelassen, haben aber keinen Einfluss mehr auf REDAXO selbst.
Deswegen gibt es auch die rex_request / rex_post.. Funktionen..
die function.rex_mquotes.inc.php wird deswegen auch in Version 5 wegfallen.. Jetzt bei der neuen v4.3 bleibt sie noch.
Ich hoffe die Info hilft ein wenig.. Bitte denkt immer daran, dass wir irgendwie auch die älteren Sachen ein wenig beachten müssen, auch wenn es nicht immer technisch so gaaanz richtig und schön ist.
lg
jn
vollkommen richtig.. Die aktuelle Version 4.2.1 sollte diese globalen Variablen eigentlich auch nicht mehr nutzen, wir haben aus Kompatibilitaetsgründen dies noch wegen Modulen und älteren AddOns dringelassen, haben aber keinen Einfluss mehr auf REDAXO selbst.
Deswegen gibt es auch die rex_request / rex_post.. Funktionen..
die function.rex_mquotes.inc.php wird deswegen auch in Version 5 wegfallen.. Jetzt bei der neuen v4.3 bleibt sie noch.
Ich hoffe die Info hilft ein wenig.. Bitte denkt immer daran, dass wir irgendwie auch die älteren Sachen ein wenig beachten müssen, auch wenn es nicht immer technisch so gaaanz richtig und schön ist.
lg
jn
Yakamara Media GmbH & Co. KG | Kaiserstrasse 69 | 60329 Frankfurt
Tel.: 069-900.20.60.30
http://www.yakamara.de/
Tel.: 069-900.20.60.30
http://www.yakamara.de/
Das erklärt jetzt aber nicht unbedingt wieso die Variablen importiert werden wenn MQGPC auf Off steht und sonst nicht.)
about: Enterprise Development
-
Jan.Kristinus
- Admin
- Beiträge: 2166
- Registriert: 24. Aug 2004, 22:11
- Wohnort: Frankfurt
- Kontaktdaten: ICQ Website
sorry.. da war ich zu voreilig.. das ist wirklich nicht mehr noetig.. habe das eben rausgenommen... hatte keine auswirkungen, war aber unnoetig..
vielen dank fuer den hinweis.
lg
jn
vielen dank fuer den hinweis.
lg
jn
Yakamara Media GmbH & Co. KG | Kaiserstrasse 69 | 60329 Frankfurt
Tel.: 069-900.20.60.30
http://www.yakamara.de/
Tel.: 069-900.20.60.30
http://www.yakamara.de/