Stefan Esser, Rächer der Exploitierten, Injection-Schnüffler Extraordinaire und Fiebertraum aller Entwickler hat im Rahmen des diesjährigen
Month of PHP Security mal wieder zugeschlagen, und unter anderem eine größere Sicherheitslücke in
Xinha gefunden.
Xinha ist ein WYSIWYG-Editor, der angenehm komfortabel ist und dessen Vorgänger htmlarea seit Urzeiten in Serendipity integriert war. In Version 1.4 haben wir den Umzug auf Xinha gemacht, der mittlerweile einiges an neuen und coolen Features bietet. Viele davon nutzt Serendipity garnicht unbedingt, und das wurde uns jetzt zum Verhängnis.
Ein Sicherheitsleck in deren Plugin-API ermöglicht die Übermittlung von dynamischen Parametern zur Konfiguration des Xinha-Backends, das unter anderem das ImageManager und ExtendedFileManager-Plugin einsetzt. Diese PHP-Dateien sind auch leider extern aufrufbar, und ermöglichen den Upload von beliebigem PHP-Code.
Klingt ätzend, ist es auch. Serendipity's neue Version hat diese Funktionalität nun kurzerhand deaktiviert, und alle Serendipity-Nutzer sind aufgefordert entweder auf 1.5.3 zu aktualisieren oder kurzerhand die Datei
htmlarea/contrib/php-xinha.php zu löschen. Wenn das Xinha-Team den Bug etwas genauer inspiziert und behoben hat, wird es sicher nochmal einen korrekteren Fix als unseren geben.
Bitte weitersagen, schnell fixen, und Stefan für das Finden danken. Nur durch derartigen, unermüdlichen Einsatz werden OpenSource-Systeme im täglichen Einsatz sicherer, und die Entwickler sensibler auf derartige Lücken hingewiesen. Auch wenn solche Lücken kurzfristig immer weh tun, derartige Full Disclosures sind unabdingbar. Danke, Stefan!
Dirks Logbuch am : Serendipity 1.5.3 ...
Vorschau anzeigen