Abo
  • Services:
Anzeige
Ein undokumentierter Benutzer im PHP File Manager, dessen Passwort im Internet kursiert, macht den Datemanager verwundbar.
Ein undokumentierter Benutzer im PHP File Manager, dessen Passwort im Internet kursiert, macht den Datemanager verwundbar. (Bild: Sijmen Ruwhof)

Security: PHP File Manager hat gravierende Sicherheitslücken

Ein undokumentierter Benutzer im PHP File Manager, dessen Passwort im Internet kursiert, macht den Datemanager verwundbar.
Ein undokumentierter Benutzer im PHP File Manager, dessen Passwort im Internet kursiert, macht den Datemanager verwundbar. (Bild: Sijmen Ruwhof)

Seit Jahren ungepatchte Schwachstellen im PHP File Manager gefährden zahlreiche Server, darunter auch von großen Unternehmen. Der Hersteller reagiert nicht auf Anfragen.

Anzeige

Ein Administratorkonto mit dem stets gleichen Passwort gefährdet sämtliche Installationen des PHP-basierten Dateimanagers PHP File Manager. Offenbar wurde die Schwachstelle bereits 2012 an den Hersteller gemeldet, der aber auch auf spätere Anfragen nicht reagiert hat. Pikanterweise ist PHP File Manager auf zahlreichen Servern prominenter Unternehmen installiert, darunter bei E.ON, Oracle, Siemens, T-Online oder Vattenfall.

Der IT-Sicherheitsforscher Sijmen Ruwhof hat den Hersteller Revived Wire Media nach eigenen Angaben bereits drei Mal über den undokumentierten Zugang informiert, aber bislang keine Antwort erhalten. Seinen Recherchen zufolge hatte bereits ein anderer 2012 den Hersteller über den Zugang informiert. Das Passwort für den Zugang liegt als MD5-Hash vor, ist aber im Klartext bereits im Netz zu finden. Ruwhof beschreibt in seinem Blogpost, wie der Zugang entfernt werden kann, auch wenn der Benutzername der eindringliche Hinweis ****__DO_NOT_REMOVE_THIS_ENTRY__**** ist. Das komme einer Hintertür gleich, schreibt Ruwhof.

Besser deinstallieren

Ruwhof beschreibt dort auch weitere Sicherheitslücken in PHP File Manager. Darüber können Unbefugte beliebigen Code auf den Server laden und möglicherweise auch ausführen. Den Fehler führt Ruwhof auf eine veraltete und fehlerhafte Version der Bibliothek Uploadify zurück, auf die PHP File Manager zugreift. Außerdem gebe es keine Option, um Dateierweiterungen einzuschränken, die hochgeladen werden dürfen, daher können sogar PHP-Dateien auf den Server übertragen und ausgeführt werden. Zudem könne die Benutzerdatenbank des Dateimanagers problemlos heruntergeladen werden. Die dort enthaltenen Passwörter sind mit dem längst geknackten MD5-Algorithmus gehasht - zudem ohne Salz.

Die Liste der von Ruwhof entdeckten Fehler ist damit längst nicht beendet. Dem Unternehmen wirft der IT-Sicherheitsexperte vor, sich überhaupt nicht um die Sicherheit seines Produkts zu kümmern, für das es immerhin 5 US-Dollar verlangt. Zu allem Überfluss entdeckte Ruwhof auch noch zahlreiche Verstöße gegen die GPL. Sein Fazit: Nutzer sollten den Dateimanager so schnell wie möglich entfernen und hoffen, dass das Unternehmen die Lücken schnellstmöglich schließt.


eye home zur Startseite
EvilSheep 29. Jul 2015

Weil man auf dem PC nichts installieren muss/einrichten muss etc um mal schnell ne Datei...

Shadow27374 28. Jul 2015

Du hast natürlich Recht, mir gings nur darum, dass das sehr wahrscheinlich mit voller...

tingelchen 28. Jul 2015

*zu einfach* ^^ Ist halt wie C. Nur das man mit PHP nicht direkt im Speicher fummeln kann...



Anzeige

Stellenmarkt
  1. TARGOBANK AG & Co. KGaA, Duisburg
  2. Bosch Software Innovations GmbH, Berlin
  3. BruderhausDiakonie, Reutlingen
  4. medavis GmbH, Karlsruhe


Anzeige
Hardware-Angebote
  1. ab 179,99€
  2. 18,99€ statt 39,99€

Folgen Sie uns
       


  1. PixelNN

    Mit Machine Learning unscharfe Bilder erkennbar machen

  2. Mobilfunk

    O2 in bayerischer Gemeinde seit 18 Tagen gestört

  3. Elektroauto

    Tesla schafft günstigstes Model S ab

  4. Bundestagswahl 2017

    IT-Probleme verzögerten Stimmübermittlung

  5. Fortnite Battle Royale

    Entwickler von Pubg sorgt sich wegen Unreal Engine

  6. Übernahme

    SAP kauft Gigya für 350 Millionen US-Dollar

  7. Core i9-7980XE im Test

    Intel braucht 18 Kerne, um AMD zu schlagen

  8. Bundestagswahl 2017

    Ein Hoffnungsschimmer für die Netzpolitik

  9. iZugar

    220-Grad Fisheye-Objektiv für Micro Four Thirds vorgestellt

  10. PowerVR

    Chinesische Investoren kaufen Imagination Technologies



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Smartphone Apple könnte iPhone X verspätet ausliefern
  2. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  3. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro

  1. Re: Wahlkampf von Flüchtlingspolitik geprägt und...

    Muhaha | 11:43

  2. Re: parlamentarische "Demokratie" ist nicht...

    ubuntu_user | 11:43

  3. Re: Die Benches zeigen eher dass Intel immer noch...

    RheinPirat | 11:43

  4. Re: Das Problem mit Jamaika

    der_wahre_hannes | 11:38

  5. Re: Intel im Winterschlaf

    daarkside | 11:38


  1. 11:58

  2. 11:34

  3. 11:19

  4. 11:04

  5. 10:34

  6. 10:16

  7. 09:01

  8. 07:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel