unsere besten emails
Registrierung
Teammitglieder
Zur Startseite
Mitgliederliste
Suche
Kalender
Häufig gestellte Fragen
Zum Portal

Dedies-Board » Sicherheit » Sicherheitsnews » Sicherheitsnews-Archiv » TWiki lässt sich Befehle unterschieben » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen TWiki lässt sich Befehle unterschieben
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »

dedie dedie ist männlich
Administrator


images/avatars/avatar-188.jpg

Dabei seit: 04.03.2005
Beiträge: 2.952

Level: 54 [?]
Erfahrungspunkte: 20.707.302
Nächster Level: 22.308.442
1.601.140 Erfahrungspunkt(e) für den nächsten Levelanstieg

TWiki lässt sich Befehle unterschieben Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Die populäre Wiki-Software TWiki lässt sich ohne Anmeldung aus dem Internet Systembefehle unterjubeln, die mit den Rechten des Webservers -- zumeist der User nobody -- ausgeführt werden. Die TWiki-Entwickler stellen in einem Advisory zur Lücke auch gleich Patches für verschiedene Versionen ihres Wikis bereit.

Der Fehler findet sich in der Revisionskontrollfunktion. Diese nutzt URL-Parameter, um eine Perl-Kommandozeile zusammenzustellen. Dieser Parameter wird nicht ordentlich auf Meta-Zeichen überprüft, so dass hierüber Systembefehle abgesetzt werden können. Eine beispielhafte URL findet sich ebenfalls in dem Advisory: /cgi-bin/view/Main/TWikiUsers?rev=2%20%7Cless%20/etc/passwd. Wenn der Zugang zum TWiki nicht durch andere Maßnahmen geschützt ist, könnten Angreifer diese Lücke ohne Anmeldung am System ausnutzen.

Die Entwickler empfehlen, den angebotenen Hotfix anzuwenden. Dieser soll vor genau diesem Angriff schützen, sei allerdings keine umfassende Fehlerbereinigung. Sinnvoller ist der Einsatz der fertig gepatchten TWikiRelease03Sep2004. Als weitere Alternative sollen betroffene Administratoren den Zugriff auf die TWiki-Seiten beispielsweise durch Webserver-Regeln einschränken.

QUELLE


__________________
Die Windows Systemwiederherstellung ist und war noch NIE ein geeignetes Mittel um einen Virus / Trojaner wieder los zu kriegen Augen rollen
16.09.2005 18:31 dedie ist offline E-Mail an dedie senden Homepage von dedie Beiträge von dedie suchen Nehmen Sie dedie in Ihre Freundesliste auf Fügen Sie dedie in Ihre Kontaktliste ein Jabber Screennamen von dedie: dedie@jabber.ccc.de
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
Dedies-Board » Sicherheit » Sicherheitsnews » Sicherheitsnews-Archiv » TWiki lässt sich Befehle unterschieben

Impressum|Boardregeln


secure-graphic.de
Board Blocks: 368.799 | Spy-/Malware: 5.599 | Bad Bot: 1.542 | Flooder: 281.746 | httpbl: 6.555
CT Security System 10.1.7 © 2006-2024 Security & GraphicArt

Ja, auch Dedies-Board verwendet Cookies. Hier erfahrt ihr alles zum Datenschutz
Verstanden;

Nach oben