Abo
  • Services:
Anzeige
Ein undokumentierter Benutzer im PHP File Manager, dessen Passwort im Internet kursiert, macht den Datemanager verwundbar.
Ein undokumentierter Benutzer im PHP File Manager, dessen Passwort im Internet kursiert, macht den Datemanager verwundbar. (Bild: Sijmen Ruwhof)

Security: PHP File Manager hat gravierende Sicherheitslücken

Seit Jahren ungepatchte Schwachstellen im PHP File Manager gefährden zahlreiche Server, darunter auch von großen Unternehmen. Der Hersteller reagiert nicht auf Anfragen.

Anzeige

Ein Administratorkonto mit dem stets gleichen Passwort gefährdet sämtliche Installationen des PHP-basierten Dateimanagers PHP File Manager. Offenbar wurde die Schwachstelle bereits 2012 an den Hersteller gemeldet, der aber auch auf spätere Anfragen nicht reagiert hat. Pikanterweise ist PHP File Manager auf zahlreichen Servern prominenter Unternehmen installiert, darunter bei E.ON, Oracle, Siemens, T-Online oder Vattenfall.

Der IT-Sicherheitsforscher Sijmen Ruwhof hat den Hersteller Revived Wire Media nach eigenen Angaben bereits drei Mal über den undokumentierten Zugang informiert, aber bislang keine Antwort erhalten. Seinen Recherchen zufolge hatte bereits ein anderer 2012 den Hersteller über den Zugang informiert. Das Passwort für den Zugang liegt als MD5-Hash vor, ist aber im Klartext bereits im Netz zu finden. Ruwhof beschreibt in seinem Blogpost, wie der Zugang entfernt werden kann, auch wenn der Benutzername der eindringliche Hinweis ****__DO_NOT_REMOVE_THIS_ENTRY__**** ist. Das komme einer Hintertür gleich, schreibt Ruwhof.

Besser deinstallieren

Ruwhof beschreibt dort auch weitere Sicherheitslücken in PHP File Manager. Darüber können Unbefugte beliebigen Code auf den Server laden und möglicherweise auch ausführen. Den Fehler führt Ruwhof auf eine veraltete und fehlerhafte Version der Bibliothek Uploadify zurück, auf die PHP File Manager zugreift. Außerdem gebe es keine Option, um Dateierweiterungen einzuschränken, die hochgeladen werden dürfen, daher können sogar PHP-Dateien auf den Server übertragen und ausgeführt werden. Zudem könne die Benutzerdatenbank des Dateimanagers problemlos heruntergeladen werden. Die dort enthaltenen Passwörter sind mit dem längst geknackten MD5-Algorithmus gehasht - zudem ohne Salz.

Die Liste der von Ruwhof entdeckten Fehler ist damit längst nicht beendet. Dem Unternehmen wirft der IT-Sicherheitsexperte vor, sich überhaupt nicht um die Sicherheit seines Produkts zu kümmern, für das es immerhin 5 US-Dollar verlangt. Zu allem Überfluss entdeckte Ruwhof auch noch zahlreiche Verstöße gegen die GPL. Sein Fazit: Nutzer sollten den Dateimanager so schnell wie möglich entfernen und hoffen, dass das Unternehmen die Lücken schnellstmöglich schließt.


eye home zur Startseite
EvilSheep 29. Jul 2015

Weil man auf dem PC nichts installieren muss/einrichten muss etc um mal schnell ne Datei...

Shadow27374 28. Jul 2015

Du hast natürlich Recht, mir gings nur darum, dass das sehr wahrscheinlich mit voller...

tingelchen 28. Jul 2015

*zu einfach* ^^ Ist halt wie C. Nur das man mit PHP nicht direkt im Speicher fummeln kann...



Anzeige

Stellenmarkt
  1. über BOYDEN global executive search, Norddeutschland
  2. HAMBURG SÜD Schifffahrtsgruppe, Hamburg
  3. Freie und Hansestadt Hamburg Finanzbehörde Hamburg, Hamburg
  4. OSRAM GmbH, München


Anzeige
Spiele-Angebote
  1. 5,99€
  2. 14,99€
  3. 38,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. taz

    Strafbefehl in der Keylogger-Affäre

  2. Respawn Entertainment

    Live Fire soll in Titanfall 2 zünden

  3. Bootcode

    Freie Firmware für Raspberry Pi startet Linux-Kernel

  4. Brandgefahr

    Akku mit eingebautem Feuerlöscher

  5. Javascript und Node.js

    NPM ist weltweit größtes Paketarchiv

  6. Verdacht der Bestechung

    Staatsanwalt beantragt Haftbefehl gegen Samsung-Chef

  7. Nintendo Switch im Hands on

    Die Rückkehr der Fuchtel-Ritter

  8. Raspberry Pi

    Compute Module 3 ist verfügbar

  9. Microsoft

    Hyper-V bekommt Schnellassistenten und Speicherfragmente

  10. Airbus-Chef

    Fliegen ohne Piloten rückt näher



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  2. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation
  3. Intel Kaby Lake Vor der Vorstellung schon im Handel

GPD Win im Test: Crysis in der Hosentasche
GPD Win im Test
Crysis in der Hosentasche
  1. Essential Android-Erfinder Rubin will neues Smartphone entwickeln
  2. Google Maps Google integriert Uber in Karten-App
  3. Tastaturhülle Canopy hält Magic Keyboard und iPad zum Arbeiten zusammen

Wonder Workshop Dash im Test: Ein Roboter riskiert eine kesse Lippe
Wonder Workshop Dash im Test
Ein Roboter riskiert eine kesse Lippe
  1. Supermarkt-Automatisierung Einkaufskorb rechnet ab und packt ein
  2. Robot Operating System Was Bratwurst-Bot und autonome Autos gemeinsam haben
  3. Roboterarm Dobot M1 - der Industrieroboter für daheim

  1. Re: Preis Controller

    My1 | 22:49

  2. Re: "Wir bauen mehr Glasfaser als jeder andere...

    plutoniumsulfat | 22:45

  3. Re: Und hier mal ein Bericht aus dem echten Leben.

    Faksimile | 22:43

  4. Re: Selbst Landungen

    Moe479 | 22:38

  5. Re: Die Telekom krempelt ihr Netz komplett um

    Faksimile | 22:38


  1. 18:02

  2. 17:38

  3. 17:13

  4. 14:17

  5. 13:21

  6. 12:30

  7. 12:08

  8. 12:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel