Ende März ist eine Sicherheitslücke bekannt geworden, die man tatsächlich als "schwer" bezeichnen kann. Ich empfehle: Mit dem AdminTool "Backup" sofort noch ein Backup der Datenbank machen und dann umgehend dieses Admin-Tool löschen. Es wird auch nicht schaden, sofort alle Admin-Passwörter zu ändern.
Sicherheitslücke in WB (2.7) 2.8+
Die Sicherheitslücke gibt es seit späteren Versionen von WB 2.7. Sie ermöglicht jedem, der etwas Kenntnis über die Funktionsweise des Internets hat, ein Backup der Datenbank zu machen, auch ohne angemeldet zu sein.
In diesem Backup stehen nicht nur alle Seiteninhalte - auch die, die nur für angemeldete Besucher sichtbar sein sollen - sondern auch die Benutzernamen der User sowie die Hash-Werte der Passwörter.
Wichtig daher:
Ehestmöglich das Verzeichnis /modules/backup loswerden: Löschen oder umbenennen.
Danach kann man noch aufräumen:
Eine Code-Section mit folgendem Inhalt erstellen und im Frontend aufrufen:
$results = $database->query("delete FROM ".TABLE_PREFIX."addons WHERE name = 'backup'");
Jetzt sollte auch das Tool unter "Admin-Tools" verschwunden sein.
Die Code-Section wieder löschen.
Jetzt könnte man noch die Gelegenheit nutzen, und sich über ein neues Passwort Gedanken machen...
Wie die Passwörter in der Datenbank gespeichert sind:
Ein Hash-Wert ist eine Ein-Weg verschlüsselte Zeichenkette; man kann sie also nicht mehr entschlüsseln. So entspricht zb der Hashwert "f98902246b7588a9f015505d7a7fa38e" meinem Template. Es ist unmöglich, aus dem Hashwert wieder mein Template zu rekonstruieren, man kann aber mit Sicherheit sagen, dass es keinen anderen Hashwert gibt, der ebenso meinem Template entsprechen würde.
Genau so macht man das mit Passwörtern: Es steht nicht das Passwort in der Datenbank, sondern nur der Hash-Wert davon. Meldet man sich an, wird aus dem übertragenen Passwort der Hash-Wert gebildet und mit dem verglichen, der in der Datenbank gespeichert ist. Ist er gleich, muss auch das Passwort gleich sein und damit richtig. Das funktioniert praktisch immer gleich, in allen CMS oder Foren.
Kennt man den Hash-Wert eines Passwortes, kennt man also noch lange nicht das Passwort, das zu diesem Hash-Wert gehört. Wenn es da nicht ein kleines Problem gäbe:
Passwörter sind meist kurz und selten wirklich "originell". Es gibt Listen der beliebtesten Passwörter + deren Hash-Werte. Diese Listen enthalten alle Vornamen, häufige Kosenamen... mitsamt ein paar Ziffern dran. Man kann also einfach probieren. Und weil das ganze nicht zäh über das Internet läuft, sondern - Dank der heruntergeladenen Datenbank - so richtig flott auf dem lokalen Computer, dauert es gerade mal ein paar Minuten, um den passenden Hash-Wert zu finden, der dann wieder zu "moni1987" gehört. Und damit kann sich ein Angreifer anmelden und darf genau das, was der Admin eben so darf.
Warum das überhaupt passiert ist:
Nach der Veröffentlichung von WB 2.7. fiel ein kleiner, unkritischer Bug auf: Unter Umständen konnten auch Berechtigte kein Backup machen. Dieser Bug wurde brav behoben, ohne an die Konsequenzen zu denken.
Neuere Themen:
Neues bei den Templates Frische Designer-Ware
WB im Fitness-Studio Aus Schaden darf man klug werden
Ältere Themen:
Frisches Modul: Watch my Site Zur Sicherheit ein kleiner Wächter
Websitebaker.org – das neue Design Die Mutter der Bäcker neu geschminkt!
Kommentare:
27.03.2010
WB User
Der Fehler wurde mit WB 2.8 eingeschleppt. Beim Versuch ein anderes Problem zu fixen, hat man den Zugriffsschutz entfernt. In WB 2.6.x und 2.7 musste man (zumindest) im WB Backend angemeldet sein, um ein Backup der DB zu starten.
27.03.2010
Michael Tenschert
Na, mit diesen Anleitungen wünsche ich Happy-Hacking! Mir fehlt allerdings noch der Link zum Exploit, den werde ich aber dann gleich nachliefern.
28.03.2010
Lonesome Walker
hm, 1 found, 2 to go...
28.03.2010
Chio
Ah, Loney hat einen Gedanken verspürt, so ganz tief drin, einwendig...
Was sagen wir da?: 3 brabbel, 4 smörrebröd...
28.03.2010
Lonesome Walker
Ich erinnere mich an ein Treffen, bei dem es hieß, nur weil man nicht sagt, WO der Schuh drückt, dann wird's wohl nur noch heiße Luft sein.
Es sind noch 2 offen...
28.03.2010
chio
Loney, du rätselst nur herum. Als wir uns getroffen haben, war der Bug noch gar nicht drin.
Nice try...
29.03.2010
Lonesome Walker
Wer redet denn von DAMALS...?
Ich rede von der 2.8er UND der 2.7er.
Die 2.8er hat noch was Hübsches in Petto...
29.03.2010
Ah! Du beteiligst dich jetzt auch an der Popularitätsoffensive für WB, damit dir die Leute endlich deine Templates aus der Hand reißen ;-)
Sehr clever! Zuerst aufbauen, dann lukrieren. Deinen Geschäftssinn möchte ich _auch_ gerne haben...
30.03.2010
Icke
Mensch Chio, jetzt musste ich aber wirklich das östereich - deutsch Übersetzungstool bemühen um den Begriff 'lukrieren' erklärt zu bekommen ;-).
Übrigens haben wir hier im Berlinerischen auch eine Begriff für Leute wie 'Lonesome Walker': Knallgurke. Und ich glaube, das trifft irgendwie den Punkt.
Eigentlich schade wie Leute ihre Potenzen für Null verschleudern...
04.04.2010
WB Friend
Ich kann LSW zustimmen, es gibt noch mindestens zwei gröbere Sicherheitslücken im 2.8.1
Doch weil ich ein edler Ritter und er eine dunkle Gestalt ist, bin ich jederzeit bereit, die Info an die richtige Stelle weiter zu leiten, während er sich nur vor Schadensfreude ins Hemd macht.
04.04.2010
Michael Tenschert
Ich kann es ja nur öfters wiederholen: Die Quelle von LSW ist doch in regen Kontakt mit den "richtigen" Stellen. Das ist doch super. Die Sicherheitslücken (mehr als zwei) die es noch gibt sind sicher nicht sehr nett, aber ein wenig fieselig mal einfach so auf die Schnelle zu entfernen.
04.04.2010
WB Friend
Die von denen ich rede nicht.
Man muss es nur wollen.
20.04.2010
Das ist der Nachteil an Open Source Software... kann immer mal passieren..
04.04.2011
redflow
Kurze Nachfrage: Ist diese Meldung noch aktuell? Oder ist das Problem mittlerweile behoben? Dank fürs Feedback! :-)
04.04.2011
Chio
Warum graben plötzlich soviele Leute diesen alten Thread aus...
Wenn du kein Update gemacht hast ist die Sicherheitslücke _bei dir_ noch aktuell.
In aktuellen WB Versionionen wurde das natürlich sofort behoben.
04.04.2011
redflow
Dank für die Info, ich hatte dasselbe auch gerade herausbekommen: auf 2.8.1 updaten und das überarbeitete Backup-Modul installieren.
Zu schnell diese alte Meldung kommentiert, ich hätte dem erstmal sorgfältiger nachgehen sollen, sorry. :-}
