Abo
  • Services:

Security: PHP File Manager hat gravierende Sicherheitslücken

Seit Jahren ungepatchte Schwachstellen im PHP File Manager gefährden zahlreiche Server, darunter auch von großen Unternehmen. Der Hersteller reagiert nicht auf Anfragen.

Artikel veröffentlicht am ,
Ein undokumentierter Benutzer im PHP File Manager, dessen Passwort im Internet kursiert, macht den Datemanager verwundbar.
Ein undokumentierter Benutzer im PHP File Manager, dessen Passwort im Internet kursiert, macht den Datemanager verwundbar. (Bild: Sijmen Ruwhof)

Ein Administratorkonto mit dem stets gleichen Passwort gefährdet sämtliche Installationen des PHP-basierten Dateimanagers PHP File Manager. Offenbar wurde die Schwachstelle bereits 2012 an den Hersteller gemeldet, der aber auch auf spätere Anfragen nicht reagiert hat. Pikanterweise ist PHP File Manager auf zahlreichen Servern prominenter Unternehmen installiert, darunter bei E.ON, Oracle, Siemens, T-Online oder Vattenfall.

Stellenmarkt
  1. Stadtverwaltung Neckarsulm, Neckarsulm bei Heilbronn
  2. d&b audiotechnik GmbH, Backnang bei Stuttgart

Der IT-Sicherheitsforscher Sijmen Ruwhof hat den Hersteller Revived Wire Media nach eigenen Angaben bereits drei Mal über den undokumentierten Zugang informiert, aber bislang keine Antwort erhalten. Seinen Recherchen zufolge hatte bereits ein anderer 2012 den Hersteller über den Zugang informiert. Das Passwort für den Zugang liegt als MD5-Hash vor, ist aber im Klartext bereits im Netz zu finden. Ruwhof beschreibt in seinem Blogpost, wie der Zugang entfernt werden kann, auch wenn der Benutzername der eindringliche Hinweis ****__DO_NOT_REMOVE_THIS_ENTRY__**** ist. Das komme einer Hintertür gleich, schreibt Ruwhof.

Besser deinstallieren

Ruwhof beschreibt dort auch weitere Sicherheitslücken in PHP File Manager. Darüber können Unbefugte beliebigen Code auf den Server laden und möglicherweise auch ausführen. Den Fehler führt Ruwhof auf eine veraltete und fehlerhafte Version der Bibliothek Uploadify zurück, auf die PHP File Manager zugreift. Außerdem gebe es keine Option, um Dateierweiterungen einzuschränken, die hochgeladen werden dürfen, daher können sogar PHP-Dateien auf den Server übertragen und ausgeführt werden. Zudem könne die Benutzerdatenbank des Dateimanagers problemlos heruntergeladen werden. Die dort enthaltenen Passwörter sind mit dem längst geknackten MD5-Algorithmus gehasht - zudem ohne Salz.

Die Liste der von Ruwhof entdeckten Fehler ist damit längst nicht beendet. Dem Unternehmen wirft der IT-Sicherheitsexperte vor, sich überhaupt nicht um die Sicherheit seines Produkts zu kümmern, für das es immerhin 5 US-Dollar verlangt. Zu allem Überfluss entdeckte Ruwhof auch noch zahlreiche Verstöße gegen die GPL. Sein Fazit: Nutzer sollten den Dateimanager so schnell wie möglich entfernen und hoffen, dass das Unternehmen die Lücken schnellstmöglich schließt.



Anzeige
Hardware-Angebote
  1. auf ausgewählte Corsair-Netzteile
  2. ab 349€
  3. und 4 Spiele gratis erhalten

EvilSheep 29. Jul 2015

Weil man auf dem PC nichts installieren muss/einrichten muss etc um mal schnell ne Datei...

Shadow27374 28. Jul 2015

Du hast natürlich Recht, mir gings nur darum, dass das sehr wahrscheinlich mit voller...

tingelchen 28. Jul 2015

*zu einfach* ^^ Ist halt wie C. Nur das man mit PHP nicht direkt im Speicher fummeln kann...


Folgen Sie uns
       


Cloudgaming mit dem Fire TV Stick ausprobiert

Wir streamen und spielen mit 60 fps mit dem Fire TV Stick.

Cloudgaming mit dem Fire TV Stick ausprobiert Video aufrufen
Youtube Music, Deezer und Amazon Music: Musikstreaming buchen ist auf dem iPhone teurer
Youtube Music, Deezer und Amazon Music
Musikstreaming buchen ist auf dem iPhone teurer

Wer seinen Musikstreamingdienst auf einem iPhone oder iPad bucht, muss oftmals mehr bezahlen als andere Kunden. Der Grund liegt darin, dass Apple - außer bei eigenen Diensten - einen Aufschlag von 30 Prozent behält. Spotify hat Konsequenzen gezogen.
Ein Bericht von Ingo Pakalski

  1. Filme und Serien Nutzung von kostenpflichtigem Streaming steigt stark an
  2. Highend-PC-Streaming Man kann sogar die Grafikkarte deaktivieren
  3. Golem.de-Livestream Halbgott oder Despot?

Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

Razer Blade 15 im Test: Schlanker 15,6-Zöller für Gamer gefällt uns
Razer Blade 15 im Test
Schlanker 15,6-Zöller für Gamer gefällt uns

Das Razer Blade 15 ist ein gutes Spiele-Notebook mit flottem Display und schneller Geforce-Grafikeinheit. Anders als im 14-Zoll-Formfaktor ist bei den 15,6-Zoll-Modellen die Konkurrenz aber deutlich größer.
Ein Test von Marc Sauter

  1. Gaming-Notebook Razer packt Hexacore und Geforce GTX 1070 ins Blade 15
  2. Razer Blade 2017 im Test Das beste Gaming-Ultrabook nun mit 4K

    •  /