An dieser Stelle werde ich in Zukunft meine Sicht auf die sicherheitsrelevanten Vorgänge der vergangenen Woche zusammenfassen. Dabei geht es um Fragen wie "Welche neuen Entwicklungen gibt es?", "Was ist für die Zukunft zu erwarten?" oder auch "Was ist da eigentlich passiert?". Ab und zu werde ich auch auf Themen eingehen, die sonst nirgends reinpassen, aber trotzdem nicht untergehen sollten. Alles sehr subjektiv, aus meiner persönlichen Sicht.

Aber genug der Vorrede, los geht's ...

Eigentlich war es eine sehr ruhige Woche. Cross Site Scripting, SQL-Injection, Einbinden beliebiger Dateien in PHP-Skripts, nichts wirklich neues. Sozusagen das Standardprogramm. Dann noch ein paar Programme mit Pufferüberlauf-Schwachstellen und dann die Updates für Firefox, Thunderbird und Seamonkey sowie Apache.

Am Gefährlichsten dürften aufgrund der Verbreitung der betroffenen Programme die Schwachstellen in den Mozilla-Programmen sein. Für eine davon, MFSA 2006-45, wurde inzwischen ein Beispiel-Exploit veröffentlicht, der unter Linux, Windows sowie Mac OS X für PowerPC und Intel funktioniert. Wer das entsprechende Update noch nicht installiert hat sollte es jetzt tun, denn es wird nicht lange dauern, bis aus dem harmlosen Beispiel ein ernsthaftes Schadprogramm wird.

Für eine erfolgreiche Ausnutzung der Schwachstelle im Apache müssen einige Faktoren zusammenkommen, sodass die Anzahl gefährdeter Systeme gering sein dürfte. Trotzdem sollten alle Installationen aktualisiert werden, denn wer weiß schon mit Sicherheit, dass das eigene System nie entsprechend genutzt wird?

Mambo/Joomla-Erweiterungen - Einbinden von Dateien ohne Ende?
Wieder wurden in einigen Erweiterungen für Mambo und/oder Joomla Schwachstellen gefunden, die das Einbinden beliebiger Dateien erlauben. Ursache ist meist, das die entsprechenden Skripts direkt aufgerufen werden, wodurch die Bereinigung der betroffenen Variable(n) unterbleibt. Schon am 10. Juli wurde im Mambo Guru Forum darauf hingewiesen, dass der direkte Aufruf der Skripts verhindert werden sollte und wie dies erreicht werden kann.

Nachdem inzwischen schon eine ganze Reihe Erweiterungen betroffen sind, ist mit weiteren Entdeckungen zu rechnen. Wenn möglich, sollte die Codeausführung in Verzeichnissen, in denen sie nicht nötig und erwünscht ist, über den Webserver unterbunden werden. Wie das geht und was dabei zu beachten ist, steht ebenfalls im Text im Mambo Guru Forum.

Besonders unangenehm ist, das sich durch das immer gleiche Muster Angriffe wunderbar automatisieren lassen: Website mit Mambo/Joomla suchen, alle bekannten Erweiterungen mit dem Parameter 'mosConfig_absolute_path=http://[Skript des Angreifers]' durchgehen, irgend eine bisher nicht geschützte Erweiterung wird schon zu finden sein ... Treffer, versenkt.

HTTP-Header-Manipulation über die Bande
Dass ein Angreifer alle von ihm direkt gesendeten Daten nach Belieben manipulieren kann, ist bekannt. Dies trifft natürlich auch auf HTTP-Header zu. Bisher wurde aber davon ausgegangen, das bei einem Angriff über Dritte, z.B. den Besucher einer präparierten Webseite, nur die wenigen Aktionen möglich sind, die der Webbrowser des Opfers über Domain-Grenzen hinweg zulässt. Amit Klein hat eine Möglichkeit gefunden, beliebige HTTP-Header über Flash zu senden: Paper, Fehlerkorrektur dazu.

Konnte z.B. bisher der 'Referer'-HTTP-Header zur Verhinderung von Cross Site Request Forgery (CSRF) herangezogen werden, sollte man sich jetzt nicht mehr darauf verlassen, das er nicht vom Angreifer manipuliert wurde.

Und die nächste Woche?
Ich vermute, es wird weitere betroffene Mambo/Joomla-Erweiterungen geben, die im Laufe der nächsten Woche gemeldet werden. Auch mit weiteren Exploits für die Mozilla-Programme ist zu rechnen. Und ansonsten: Abwarten und Tee trinken, das ist bei der aktuellen Hitze doch ganz angenehm.

Carsten Eilers