Abo
  • Services:

Security: PHP File Manager hat gravierende Sicherheitslücken

Seit Jahren ungepatchte Schwachstellen im PHP File Manager gefährden zahlreiche Server, darunter auch von großen Unternehmen. Der Hersteller reagiert nicht auf Anfragen.

Artikel veröffentlicht am ,
Ein undokumentierter Benutzer im PHP File Manager, dessen Passwort im Internet kursiert, macht den Datemanager verwundbar.
Ein undokumentierter Benutzer im PHP File Manager, dessen Passwort im Internet kursiert, macht den Datemanager verwundbar. (Bild: Sijmen Ruwhof)

Ein Administratorkonto mit dem stets gleichen Passwort gefährdet sämtliche Installationen des PHP-basierten Dateimanagers PHP File Manager. Offenbar wurde die Schwachstelle bereits 2012 an den Hersteller gemeldet, der aber auch auf spätere Anfragen nicht reagiert hat. Pikanterweise ist PHP File Manager auf zahlreichen Servern prominenter Unternehmen installiert, darunter bei E.ON, Oracle, Siemens, T-Online oder Vattenfall.

Stellenmarkt
  1. BWI GmbH, Bonn, Meckenheim
  2. KWS SAAT SE, Einbeck

Der IT-Sicherheitsforscher Sijmen Ruwhof hat den Hersteller Revived Wire Media nach eigenen Angaben bereits drei Mal über den undokumentierten Zugang informiert, aber bislang keine Antwort erhalten. Seinen Recherchen zufolge hatte bereits ein anderer 2012 den Hersteller über den Zugang informiert. Das Passwort für den Zugang liegt als MD5-Hash vor, ist aber im Klartext bereits im Netz zu finden. Ruwhof beschreibt in seinem Blogpost, wie der Zugang entfernt werden kann, auch wenn der Benutzername der eindringliche Hinweis ****__DO_NOT_REMOVE_THIS_ENTRY__**** ist. Das komme einer Hintertür gleich, schreibt Ruwhof.

Besser deinstallieren

Ruwhof beschreibt dort auch weitere Sicherheitslücken in PHP File Manager. Darüber können Unbefugte beliebigen Code auf den Server laden und möglicherweise auch ausführen. Den Fehler führt Ruwhof auf eine veraltete und fehlerhafte Version der Bibliothek Uploadify zurück, auf die PHP File Manager zugreift. Außerdem gebe es keine Option, um Dateierweiterungen einzuschränken, die hochgeladen werden dürfen, daher können sogar PHP-Dateien auf den Server übertragen und ausgeführt werden. Zudem könne die Benutzerdatenbank des Dateimanagers problemlos heruntergeladen werden. Die dort enthaltenen Passwörter sind mit dem längst geknackten MD5-Algorithmus gehasht - zudem ohne Salz.

Die Liste der von Ruwhof entdeckten Fehler ist damit längst nicht beendet. Dem Unternehmen wirft der IT-Sicherheitsexperte vor, sich überhaupt nicht um die Sicherheit seines Produkts zu kümmern, für das es immerhin 5 US-Dollar verlangt. Zu allem Überfluss entdeckte Ruwhof auch noch zahlreiche Verstöße gegen die GPL. Sein Fazit: Nutzer sollten den Dateimanager so schnell wie möglich entfernen und hoffen, dass das Unternehmen die Lücken schnellstmöglich schließt.



Anzeige
Hardware-Angebote
  1. ab 399€
  2. 119,90€
  3. mit Gutschein: HARDWARE50 (nur für Neukunden, Warenwert 104 - 1.000 Euro)
  4. 915€ + Versand

EvilSheep 29. Jul 2015

Weil man auf dem PC nichts installieren muss/einrichten muss etc um mal schnell ne Datei...

Shadow27374 28. Jul 2015

Du hast natürlich Recht, mir gings nur darum, dass das sehr wahrscheinlich mit voller...

tingelchen 28. Jul 2015

*zu einfach* ^^ Ist halt wie C. Nur das man mit PHP nicht direkt im Speicher fummeln kann...


Folgen Sie uns
       


Biegbare OLEDs von Royole (Ifa 2018)

Die biegbaren Displays von Royole bieten auch an der Bruchkante ein sehr gutes Bild. Wann ein Endverbraucherprodukt mit einem derartigen flexiblen Bildschirm auf den Markt kommt, ist noch nicht bekannt.

Biegbare OLEDs von Royole (Ifa 2018) Video aufrufen
Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
Oldtimer-Rakete
Ein Satellit noch - dann ist Schluss

Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
Von Frank Wunderlich-Pfeiffer

  1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
  2. Chang'e 4 China stellt neuen Mondrover vor
  3. Raumfahrt Cubesats sollen unhackbar werden

Grafikkarten: Das kann Nvidias Turing-Architektur
Grafikkarten
Das kann Nvidias Turing-Architektur

Zwei Jahre nach Pascal folgt Turing: Die GPU-Architektur führt Tensor-Cores und RT-Kerne für Spieler ein. Die Geforce RTX haben mächtige Shader-Einheiten, große Caches sowie GDDR6-Videospeicher für Raytracing, für Deep-Learning-Kantenglättung und für mehr Leistung.
Ein Bericht von Marc Sauter

  1. Tesla T4 Nvidia bringt Googles Cloud auf Turing
  2. Battlefield 5 mit Raytracing Wenn sich der Gegner in unserem Rücken spiegelt
  3. Nvidia Turing Geforce RTX 2080 rechnet 50 Prozent schneller

iPhone Xs, Xs Max und Xr: Wer unterstützt die eSIM in den neuen iPhones?
iPhone Xs, Xs Max und Xr
Wer unterstützt die eSIM in den neuen iPhones?

Apples neue iPhones haben neben dem Nano-SIM-Slot eine eingebaute eSIM, womit der Konzern erstmals eine Dual-SIM-Lösung in seinen Smartphones realisiert. Die Auswahl an Netzanbietern, die eSIMs unterstützen, ist in Deutschland, Österreich und der Schweiz aber eingeschränkt - ein Überblick.
Von Tobias Költzsch

  1. Apple Das iPhone Xr macht's billiger und bunter
  2. Apple iPhone Xs und iPhone Xs Max sind bierdicht
  3. Apple iPhones sollen Stiftunterstützung erhalten

    •  /