Sicherheitslücke im CMS Drupal geschlossen

Das Drupal Security Team hat jetzt ein Update bereitgestellt, das eine kritische Sicherheitslücke schließt. Bisher konnten Angreifer darüber ohne Authentifizierung mit einem einzelnen POST-Request beliebige SQL-Befehle ausführen und auf diese Weise die Internetseite komplett übernehmen. Das CMS Drupal wird von mehreren bekannten Internetseiten benutzt, darunter die des Weißen Hauses und Musiker-Webseiten wie etwa die von Bob Dylan. Wer Drupal 7 installiert hat, sollte jetzt auch so schnell wie möglich das Core-Update einspielen. Wer den Core seines Drupal-Systems nicht kurzfristig austauschen kann, sollte wenigstens den Patch anwenden, der die problematische  Codezeile mit der Sicherheitslücke entschärft. Die ältere Version des CMS Drupal 6 ist von dem Problem nicht betroffen. Die Lücke steckt im  Datenbank-Layer, der erst mit Drupal 7 eingeführt wurde.

2014-10-16T23:52:23+02:00Oktober 16th, 2014|CSS, HTML, PHP|Kommentare deaktiviert für Sicherheitslücke im CMS Drupal geschlossen

Achtung: Systematische Angriffe auf Internetserver mit PHP

Der Heise-Newsticker berichtet aktuell über Versuche, Internetserver mit der Programmiersprache PHP zu übernehmen. Dabei wird offenbar ein erst vor Kurzem veröffentlichter Exploit benutzt, der eine Lücke in PHP 5 ausnutzt. Die Lücke ist zwar schon seit Mai 2012 bekannt und seit PHP Version 5.3.12 und 5.4.2 beseitigt, aber offenbar gibt es immer noch anfällige Server, die mit älteren Versionen von PHP laufen. Die Angriffe nutzen ein Problem aus, das nur aufkommt, wenn PHP nicht als Apache-Modul oder als FastCGI, sondern im CGI-Modus betrieben wird. Der Angreifer kann dabei dem PHP-Programm direkt Parameter über die Kommandozeile übergeben und so dann auch Schadcode einschleusen und ausführen lassen. Der aktuelle Exploit von Kingcope nutzt das, um dem Angreifer eine Shell auf dem Server bereit zu stellen. Ein Exploit ist ein fertiges Beispielprogramm zum Ausnutzen einer Sicherheitslücke im Quellcode (meist in C) – man muss es nur noch kompilieren, dann ist es einsatzbereit. In den Log-Dateien angegriffener Server finden sich reihenweise Einträge dieser Art: “POST /cgi-bin/php5?%2D%64+%61%6C%6C ..” die einen versuchten Angriff vermuten lassen. Wer also noch ungepatchte Web-Server mit PHP betreibt, sollte die jetzt bald aktualisieren, bevor er ungebetenen Besuch bekommt…

2013-11-05T21:24:53+02:00November 5th, 2013|Allgemein|Kommentare deaktiviert für Achtung: Systematische Angriffe auf Internetserver mit PHP

POST-Anfragen können Internetserver lahmlegen

Auf dem Kongress des Chaos Computer Clubs wurde eine neue Schwachstelle von Internetservern offengelegt. Die Entwickler Alexander Klink und Julian Wälde haben das Problem entdeckt und beschrieben. Über POST-Requests kann man gezielt Hash-Kollisionen auslösen, die die Last eines Internetservers drastisch erhöhen, und so eine DoS-Angriff fahren. Das klappt im Grunde bei allen Webservern, denn das Problem liegt in den verwendeten Scriptsprachen wie PHP, ASP oder Javascript. Durch solche provozierten Hash-Kollisionen braucht man weniger als 100 kBit/s Bandbreite, um eine moderne CPU komplett auszulasten und einen Internetserver in die Knie zu zwingen. Als bestes Mittel dagegen gilt es, die Hash-Funktion zu randomisieren. Einige Hersteller haben schon auf die Angriffsmöglichkeit reagiert. Microsoft bietet einen Patch für ASP.Net an, der heute erscheinen soll. Bei PHP empfiehlt sich die Absicherung mit Suhosin an. Für Tomcat gibt es ein Workaround und für Ruby einen Patch.

2011-12-29T14:53:20+02:00Dezember 29th, 2011|Javascript, PHP|Kommentare deaktiviert für POST-Anfragen können Internetserver lahmlegen

Googlebot lernt den Umgang mit dynamisch nachgeladenen Inhalten

Google's Crawler Googlebot erhält gerade eine Zusatzausbildung: Er lernt, auch Inhalte, die erst mittels AJAX dynamisch nachgeladen werden, für die Indizierung zu nutzen. Diese Konstrukte werden ja auf modernen Websites immer mehr eingesetzt und der Crawler kam bisher nicht dran. Jetzt kann er sogar selbst POST-Requests auslösen, um solche Inhalte abzufragen. Wie das geht, beschreibt Google im Webmaster Central Blog. Allerdings tauchen auch erste und nachvollziehbare Fragen der Webmaster auf. So zum Beispiel die, ob dabei nicht ungewollte Nutzeraktionen vorgegaukelt und damit die Statistiken verfälscht werden. In dem Zusammenhang erinnert Google nur an die Roboter-Steuerdatei robots.txt, mit der man das Verhalten der Webcrawler dirigieren kann.

2011-11-03T09:28:34+02:00November 3rd, 2011|HTML, Javascript|Kommentare deaktiviert für Googlebot lernt den Umgang mit dynamisch nachgeladenen Inhalten

Formular mit Javascript abschicken

Manchmal steht man bei der Erstellung von Webseiten vor dem Problem, dass Daten via POST zu einer anderen Seite transferiert werden sollen, ohne dass der Benutzer das z.B. durch Mausklick auf einen Submit-Button initiiert. Dazu gibt es eine einfache Lösung mit Javascript. Zunächst werden die per POST zu übertragenden Daten mit dem Attribut "hidden" in ein Formular eingetragen, das einen Namen haben muss, im Beispiel "f1", damit man es per Javascript ansprechen kann. Alternativ ließe es sich auch als Index ansprechen. <form action="EmpfangendeSeite.php" method="POST" name="f1" > <input type="hidden" name="charset" value="utf-8"> <input type="hidden" name="next" value="3"> </form> Direkt hinter dem Formular steht das nachfolgende Einzeiler-Programm, das den Transfer der Daten zur Zielseite auslöst. <script> document.f1.submit(); </script>

2011-08-29T08:25:06+02:00August 29th, 2011|Javascript|Kommentare deaktiviert für Formular mit Javascript abschicken
Nach oben