Web Problem Sicherheitslücke in der Forensoftware WBB

Dieses Thema im Forum "Offtopic" wurde erstellt von jensIO, 15. Mai 2016.

  1. jensIO
    Offline

    jensIO

    Registriert seit:
    28. Juli 2015
    Beiträge:
    602
    Ort:
    Internet, im Neuland
    Minecraft:
    jens1o
    Hallo,

    wie einige es vielleicht mitbekommen haben hatte ich am Freitag bei einem großen Server eine Sicherheitslücke gefunden, welche mich in die Lage gebracht hatte, an E-Mail-, Datenbank- und TeamSpeak ServerQuery Anmeldedaten zu kommen und diese abzugreifen.(Inzwischen gefixt.) Der Angriffspunkt war so einfach wie clever. Logdateien lesen und Fehler provozieren/vorhandene interpretieren.(Soviel dazu, ich will nicht, das jemand dies ausnutzt und dann nicht dem Foreninhaber Bescheid sagt.)

    Wie ihr evt. wisst basiert WBB auf dem WCF(Woltlab Community Framework/PHP Api), was in seinem Verzeichnis standardmäßig(meist/hier wcf/) während der Installationsroutine folgende Dateienstruktur anlegt:
    Code (Text):
    1. wcf/
    2. ├acp
    3. ├attachments
    4. ├cache
    5. ├font
    6. ├icon
    7. ├images
    8. ├js
    9. ├language
    10. ├lib
    11. ├log
    12. ├style
    13. ├templates
    14. ├tmp
    15. ├cli.php
    16. ├config.inc.php
    17. ├global.php
    18. └options.inc.php
    Hier ist wichtig, dass ihr in jedem Fall/zumindest im Verzeichnis "log/" eine ".htaccess"-Datei erstellt(falls da nicht schon eine existiert), diese muss folgenden Inhalt haben:
    Code (Text):
    1. deny from all
    Außerdem, folgender Tipp: Ihr solltet im wcf/ Verzeichnis niemals eine Test-Config(das war auch beim Server der Fall) rumliegen haben, jede Datei, die nicht vom WCF erstellt wurde, kann, muss aber nicht geschützt sein!
    Wem das zu viel tralala ist, der erstellt auch im wcf/ Verzeichnis eine ".htaccess"-Datei mit dem Inhalt:
    Code (Text):
    1. deny from all
    Dann sind evt. Test-Configs auch geschützt, aber sicher ist was anderes! Erst garnicht hochladen!

    Falls ihr Server findet, die diese Lücke haben, verlinkt diese bitte auf diesen Beitrag.

    Gruß,
    Jens
     
    #1
    Vazug, MrJack_15, Andi_54 und 3 anderen gefällt das.
  2. DerVodka
    Offline

    DerVodka

    Registriert seit:
    25. März 2016
    Beiträge:
    9
    Ort:
    Schweiz
    Minecraft:
    DerVodka
    Es kommt drauf an welche WBB Version man hat ich habe die Neuste und bei mir z.B ist der Log Ordner wo anders
     
    #2
  3. jensIO
    Offline

    jensIO

    Registriert seit:
    28. Juli 2015
    Beiträge:
    602
    Ort:
    Internet, im Neuland
    Minecraft:
    jens1o
    Nein.
    https://github.com/WoltLab/WCF/tree/master/wcfsetup/install/files

    Hier ist immernoch der log Ordner im Verzeichnis wcf, hast du das wcf-Verzeichnis umbenannt? Den Namen davon kann man(während der Installationsroutine) ändern.
     
    #3
    Vazug gefällt das.
  4. 可愛い
    Offline

    可愛い

    Registriert seit:
    19. Mai 2014
    Beiträge:
    654
    #4
    games6471 gefällt das.
  5. jensIO
    Offline

    jensIO

    Registriert seit:
    28. Juli 2015
    Beiträge:
    602
    Ort:
    Internet, im Neuland
    Minecraft:
    jens1o
    Klar, aber lieber doppelt und dreifach darauf hinweisen. Aber anscheinend gibt es da ein Problem, bei manchen Foren, wo ich auch mal nachgeschaut habe, gab es solch eine Datei nicht.
     
    #5
    Vazug gefällt das.