Open Source im professionellen Einsatz

Joomla: Exploits im Umlauf

In dem beliebten Content-Management-System Joomle wurde zwei Schwachstellen entdeckt. Das erste Problem tritt beim Schreiben von Session-Werten in die Datenbank auf. Dadurch kann ein entfernter Angreifer eigenen Code in das System enschleusen, da entsprechende Filterfunktionen nicht richtig funktionieren. Den Entwicklern zufolge können Angreifer beim Schreiben von Session-Werten eines Webbrowsers in die Datenbank ansetzen, um Code in das CMS zu schieben. Dabei soll ein Filter nicht korrekt arbeiten. Weitere Details finden sich nicht in der Beschreibung der Entwickler. Das Joomla-Team berichtet, dass sie am 13. Dezember 2015 von der Lücke erfahren haben; die abgesicherte Version erschien einen Tag später.

Die Schwachstelle wird derzeit aktiv ausgenutzt. Ein attackierter Server zeigt einen Log-Eintrag ähnlich dem folgenden: 

2015 Dec 12 16:49:07 clienyhidden.access.log
Src IP: 74.3.170.33 / CAN / Alberta
74.3.170.33 – – [12/Dec/2015:16:49:40 -0500] “GET /contact/ HTTP/1.1″ 403 5322 “http://google.com/” “}__test|O:21:\x22JDatabaseDriverMysqli\x22:3: ..
{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0: .. {}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\x22:5:..
{s:8:\x22sanitize\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}s:8:\x22feed_url\x22;s:60:..

Hier wird versucht eine Object-Injection via HTTP durchzuführen. Es wird empfohlen in den Log-Dateien gezielt nach dem String »JDatabaseDriverMysqli« zu suchen, da dieser auf eine Attacke hindeutet. Auch scheinen im Umlauf befindliche Exploits den User Agent auf »O:« zu setzen, was deshalb ebenso auf eine Attack hinweist.

Die zweite Sicherheitslücke ist harmloser. Dabei handelt es sich um eine typische Directory-Traversal-Schwachstelle, die beim Verarbeiten von XML-Dateien auftritt. Dadurch ist ein Angreifer in der Lage Dateien unberechtigt zu lesen. Betroffen von diesen Schwachstellen sind die Versionen 1.5.0 bis 3.4.5.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.