Security Kopf/Fuss

[Powie]

Durch die Ausnutzung der folgenden Vorgehensweise ist es einem Angreifer möglich an die Konfigurationsdaten aus der config.inc.php zu gelangen, bzw eigenen Code auf dem Server auszuführen.
Ablauf:
- der Angreifer lädt beispielsweise über das Forum / Avatar Upload eine manipulierte GIF Datei hoch in der PHP Code eingebaut ist.
- Über die Files kopf.php oder fuss.php included er dieses File:
  .....kopf.php?d_fussfile=/pfad/zum/hochgeladenen.gif
- Damit hat er eigenen Code und kann beliebig Files includen / Code ausführen !
Aus diesem Grund empfehlen wir umgehend in \\\"allen\\\" Scripten die kopf.php und fuss.php zu verändern und diese Passagen zu entfernen, und wenn notwendig die einzubindenden Files direkt anzugeben:
kopf.php:

//Kopf einbinden wenn existent :
if (file_exists($d_kopffile)) {
require($d_kopffile);
}

 
 
fuss.php:

//Fuss einbinden wenn existent :
if (file_exists($d_fussfile)) {
require($d_fussfile);
}

 
 
Gepatchte Versionen können aus dem CVS gezogen werden und werden in Kürze von uns bereitgestellt !

also ich habe mich heute nacht ma mit dem \\\"unhold\\\" unterhalten:

(02:55:50)  huhu
(02:55:52)  jemand da?
(02:55:55) Bladestalker is now known as Hansinator
(02:57:22)  jo
(02:57:26)  was gibs
(02:57:36)  ah
(02:57:39)  einer von den admins
(02:57:53)  na nich wirklich aber ich kann dir auch ohne admin rechte helfen denk ich ma..
(02:57:53)  ich hab grad pscript.de gehackt
(02:57:58)  lol
(02:57:58)  ?!
(02:58:05)  mahe?
(02:58:09)  der pennt
(02:58:10)  hmmm
(02:58:14)  mahe kennt mich noch
(02:58:32)  hm seh das grad lol
(02:59:12)  lösch das am besten und schreib powie per PN wo die sicherheits lücke liegt
(02:59:21)  hmmm
(02:59:22)  weil sonst kommen andere auf die idee...
(02:59:23)  aber warum
(02:59:26)  ach
(02:59:29)  das findet keiner
(02:59:34)  na mir wurscht
(02:59:36)  glaub mir *g*
(02:59:45)  aber das sagte powie letztesmal auch
(02:59:53)  also das ich mich nächstesmal per pn melden soll *g*
(03:00:11)  najooo, man kann nicht alles haben ^^
(03:00:24)  hehe
(03:00:33)  sag ma wo die is *neugierigis*
(03:00:41)  heheee
(03:01:03)  powie macht einen unsicheren include wo nur geprüft wird ob die datei auf dem server existiert
(03:01:15)  also lade ich meine include datei hoch
(03:01:18)  und das script nimmt sie
(03:01:43)  denn php packt alle dateien die es geschickt bekommt automatisch in den tmp ordner, egal ob das script sie will oder nicht
(03:02:01)  hm
(03:02:11)  wenn ich das nun richtig versteh brauchst aber ftp rechte oder?
(03:02:28)  nö
(03:02:49)  (03:01:15)  also lade ich meine include datei hoch
(03:02:59)  zum hochladen brauchst doch ftp
(03:03:00)  nur einen internet explorer und eine kleine selbstgebastelte html datei
(03:03:16)  neee das geschiet mit ner multipart form
(03:03:20)  +h
(03:03:21)  aso
(03:03:50)  jo seh grad
(03:03:57)  aber selber in den admin bereich kommst nich oder?
(03:04:02)  also ca so
(03:04:13)  
(03:04:27)  jo is mir schon klar..
(03:04:37)  un nu sach mir was in action rein kommt
(03:04:37)  gg
(03:04:41)  ich weiss ja ned wie dein wissensstand ist *g*
(03:04:49)  geheim ^^
(03:05:00)  naja
(03:05:10)  ich kann mein eigenes php script ausführen auf dem server
(03:05:13)  naja ich hab das forum sowieso nicht..
(03:05:15)  eval()?
(03:05:23)  include()
(03:05:42)  und so
(03:05:43)  $sqlbefehl = \\\"Update $tab_user Set useruser=\\\'Admin\\\'
(03:05:43)  Where username=\\\'hansinator\\\'\\\";
(03:05:43)  $ergebnis = mysql_query($sqlbefehl);
(03:05:49)  jaja stimmt
(03:05:50)  werde ich admin über quasi alles *g*
(03:05:54)  hab grad aufn schlauch gestanden
(03:06:05)  bzw dann kann ich mir alle rechte setzen die ich gerne hätte
(03:06:13)  und dann zb include.php?../tmp/bla.php
(03:06:21)  und dann zb include.php?file=../tmp/bla.php
(03:06:22)  ?!
(03:06:37)  joa
(03:06:40)  quasi
[/quote]
daher denke ich, das deine änderung nicht wirklich viel bringt... weil die file ja auch im tmp ordner existent ist.
sach wenn ich mich irre...
mfg

[nico]

Anscheinend gibt es Sicherheitsprobleme auf mehreren Ebenen. Würde mich darüber freuen, wenn ihr mir ganz konkret sagen könntet, welcher Code in welchen Files abgeändert werden muss.
Dank im voraus /uploads/emoticons/icon_e_smile.gif.f7ec63a2b1c3d90a9415e40455642502.gif\" alt=\":-)\" />

[foxy]

daher denke ich, das deine änderung nicht wirklich viel bringt... weil die file ja auch im tmp ordner existent ist.
[/quote]
Aber woher bekommt man den Namen des Files im tmp-Ordner?
Bei mir heißen die immer bdh3kjs.php usw.

Die einfachste Lösung sowas zu unterbinden ist, die Kopf/Fuss Datei einfach als Konstante zu erstellen schon existiert das Problem nicht mehr;-)