Sicherheitslücke FTP

Dieses Thema im Forum "Security" wurde erstellt von Forenleser, 22. Oktober 2008.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Forenleser

    Forenleser New Member

    Registriert seit:
    1. Oktober 2008
    Beiträge:
    38
    Ort:
    Kassel
    Hallo,

    ich habe schon einiges bei Google gesucht, aber noch nicht wirklich etwas gefunden. Es besteht wohl die Möglichkeit über eine ältere Joomla Version 1.5x Zugriff auf den kompletten Server zu bekommen.

    Ich will den Vorgang nicht genau beschreiben, jedoch kann, wenn man Zugriff auf das Portal bekommen hat als Admin Daten einspielen, die dann als Benutzer www-data weiter verwendet werden können um so Zugriff auf /var/www zu bekommen.

    Hat jemand in dieser Hinsicht schon Erfahrungen gesammelt, oder weis wie man hier besser dicht macht.

    System: 5.0.32-Debian PHP5.xx MySQL5.0.32 Confixx 3.3
     
  2. phor

    phor Erfahrener Benutzer

    Registriert seit:
    10. Mai 2006
    Beiträge:
    1.382
    AW: Sicherheitslücke FTP

    Indem man die aktuelle Version installiert. Wie du schon sagst besteht die Sicherheitslücke in einer älteren Version.
     
  3. antondollmaier

    antondollmaier Eingetragener Provider

    Registriert seit:
    19. April 2004
    Beiträge:
    902
    Firmenname:
    ADIT Systems
    Anbieterprofil:
    Klick
    AW: Sicherheitslücke FTP

    Sicherheitslücke war in Joomla 1.5 bis RC3 (oder so ähnlich, in der 1.5 Stable nicht) vorhanden, durch eine fehlende Parameter-Validierung der Suche (com_search) war es möglich, Systembefehle auszuführen (dem eval ein system() unterschieben).

    Beseitigung: Upgraden ... alles andere ist Käse ...

    Im Übrigen sollte der Webserver selbst soweit gesichert sein, dass andere Kunden durch einen Hack nicht oder so wenig wie möglich betroffen sind!
     
  4. NetDepot

    NetDepot Eingetragener Provider

    Registriert seit:
    1. Januar 2003
    Beiträge:
    605
    Firmenname:
    NetDepot Internet Se...
    Anbieterprofil:
    Klick
    AW: Sicherheitslücke FTP

    Ganz klar: Upgrade!

    Nebenbei: Was soll das jetzt mit FTP zu tun haben? ;)
     
  5. Forenleser

    Forenleser New Member

    Registriert seit:
    1. Oktober 2008
    Beiträge:
    38
    Ort:
    Kassel
    AW: Sicherheitslücke FTP

    Hallo,
    danke für die Infos. Natürlich Upgrade...!

    Genau hierauf zielte jetzt meine Frage.
     
  6. PF-Hosting

    PF-Hosting New Member

    Registriert seit:
    28. April 2008
    Beiträge:
    59
    Firmenname:
    PF-Hosting
    Anbieterprofil:
    Klick
    AW: Sicherheitslücke FTP

    Ganz klar Upgrade durchführen und am besten in der php.ini bei disable_functions Sachen wie exec(), shell_exec() und remote_includes verbieten.
    Am aller besten natürlich das obige und Sachen wie mod_security dann bist du ziemlich sicher.
     
  7. [netcup] Felix

    [netcup] Felix Eingetragener Provider

    Registriert seit:
    13. Juni 2005
    Beiträge:
    4.871
    Ort:
    Karlsruhe
    Firmenname:
    netcup.de
    Anbieterprofil:
    Klick
    AW: Sicherheitslücke FTP

    Eine weitere Überlegung ist PHP nicht als www-run arbeiten zu lassen.
     
  8. PF-Hosting

    PF-Hosting New Member

    Registriert seit:
    28. April 2008
    Beiträge:
    59
    Firmenname:
    PF-Hosting
    Anbieterprofil:
    Klick
    AW: Sicherheitslücke FTP

    Stimmt eine CGI Umgebung mit jeweils einem Benutzer wäre sicher vorzuziehen außer man legt sehr viel Wert auf Performance dann sollte man allerdings einen eigenen Server für dieses eine Projekt haben und keine Shared Hosting Umgebung.
     
  9. [netcup] Felix

    [netcup] Felix Eingetragener Provider

    Registriert seit:
    13. Juni 2005
    Beiträge:
    4.871
    Ort:
    Karlsruhe
    Firmenname:
    netcup.de
    Anbieterprofil:
    Klick
    AW: Sicherheitslücke FTP

    Wie wärs mit suPHP?
     
  10. PF-Hosting

    PF-Hosting New Member

    Registriert seit:
    28. April 2008
    Beiträge:
    59
    Firmenname:
    PF-Hosting
    Anbieterprofil:
    Klick
    AW: Sicherheitslücke FTP

    Klar geht suPHP/FCGI auch war auch nur ein Beispielt mit PHP als CGI ;)
     
  11. [netcup] Felix

    [netcup] Felix Eingetragener Provider

    Registriert seit:
    13. Juni 2005
    Beiträge:
    4.871
    Ort:
    Karlsruhe
    Firmenname:
    netcup.de
    Anbieterprofil:
    Klick
    AW: Sicherheitslücke FTP

    Das ist aber die Lösung zu den von dir erwähnten Einbußen in der Performance. Es ist eben kein PHP als CGI.
     
  12. PF-Hosting

    PF-Hosting New Member

    Registriert seit:
    28. April 2008
    Beiträge:
    59
    Firmenname:
    PF-Hosting
    Anbieterprofil:
    Klick
    AW: Sicherheitslücke FTP

    Nächstes mal schreib ich nen oder statt / ;) Sollten ja wie gesagt nur Beispiele sein wies mit der Rechtetrennung funktioniert ohne speziellen Blick auf die Performance. Wobei das sowieso jeder Hoster ein bisschen anders sieht was nun das Beste ist. Wie immer gilt hier für seinen eigenen bestimmten Einsatzzweck das Beste zu finden egal wie es sich nun nennt. Ich denke wir sind jetzt mittlerweile auch mehr als nur Offtopic.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen