Abo
  • Services:

Security: PHP File Manager hat gravierende Sicherheitslücken

Seit Jahren ungepatchte Schwachstellen im PHP File Manager gefährden zahlreiche Server, darunter auch von großen Unternehmen. Der Hersteller reagiert nicht auf Anfragen.

Artikel veröffentlicht am ,
Ein undokumentierter Benutzer im PHP File Manager, dessen Passwort im Internet kursiert, macht den Datemanager verwundbar.
Ein undokumentierter Benutzer im PHP File Manager, dessen Passwort im Internet kursiert, macht den Datemanager verwundbar. (Bild: Sijmen Ruwhof)

Ein Administratorkonto mit dem stets gleichen Passwort gefährdet sämtliche Installationen des PHP-basierten Dateimanagers PHP File Manager. Offenbar wurde die Schwachstelle bereits 2012 an den Hersteller gemeldet, der aber auch auf spätere Anfragen nicht reagiert hat. Pikanterweise ist PHP File Manager auf zahlreichen Servern prominenter Unternehmen installiert, darunter bei E.ON, Oracle, Siemens, T-Online oder Vattenfall.

Stellenmarkt
  1. Beckhoff Automation GmbH & Co. KG, Verl
  2. Bosch Gruppe, Grasbrunn

Der IT-Sicherheitsforscher Sijmen Ruwhof hat den Hersteller Revived Wire Media nach eigenen Angaben bereits drei Mal über den undokumentierten Zugang informiert, aber bislang keine Antwort erhalten. Seinen Recherchen zufolge hatte bereits ein anderer 2012 den Hersteller über den Zugang informiert. Das Passwort für den Zugang liegt als MD5-Hash vor, ist aber im Klartext bereits im Netz zu finden. Ruwhof beschreibt in seinem Blogpost, wie der Zugang entfernt werden kann, auch wenn der Benutzername der eindringliche Hinweis ****__DO_NOT_REMOVE_THIS_ENTRY__**** ist. Das komme einer Hintertür gleich, schreibt Ruwhof.

Besser deinstallieren

Ruwhof beschreibt dort auch weitere Sicherheitslücken in PHP File Manager. Darüber können Unbefugte beliebigen Code auf den Server laden und möglicherweise auch ausführen. Den Fehler führt Ruwhof auf eine veraltete und fehlerhafte Version der Bibliothek Uploadify zurück, auf die PHP File Manager zugreift. Außerdem gebe es keine Option, um Dateierweiterungen einzuschränken, die hochgeladen werden dürfen, daher können sogar PHP-Dateien auf den Server übertragen und ausgeführt werden. Zudem könne die Benutzerdatenbank des Dateimanagers problemlos heruntergeladen werden. Die dort enthaltenen Passwörter sind mit dem längst geknackten MD5-Algorithmus gehasht - zudem ohne Salz.

Die Liste der von Ruwhof entdeckten Fehler ist damit längst nicht beendet. Dem Unternehmen wirft der IT-Sicherheitsexperte vor, sich überhaupt nicht um die Sicherheit seines Produkts zu kümmern, für das es immerhin 5 US-Dollar verlangt. Zu allem Überfluss entdeckte Ruwhof auch noch zahlreiche Verstöße gegen die GPL. Sein Fazit: Nutzer sollten den Dateimanager so schnell wie möglich entfernen und hoffen, dass das Unternehmen die Lücken schnellstmöglich schließt.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 119,90€

EvilSheep 29. Jul 2015

Weil man auf dem PC nichts installieren muss/einrichten muss etc um mal schnell ne Datei...

Shadow27374 28. Jul 2015

Du hast natürlich Recht, mir gings nur darum, dass das sehr wahrscheinlich mit voller...

tingelchen 28. Jul 2015

*zu einfach* ^^ Ist halt wie C. Nur das man mit PHP nicht direkt im Speicher fummeln kann...


Folgen Sie uns
       


Eine kurze Geschichte des CCC - die 1980er

DFÜ, BTX und KGB - wir zeigen die Anfänge des Chaos Computer Club im Video.

Eine kurze Geschichte des CCC - die 1980er Video aufrufen
Eden ISS: Raumfahrt-Salat für Antarktis-Bewohner
Eden ISS
Raumfahrt-Salat für Antarktis-Bewohner

Wer in der Antarktis überwintert, träumt irgendwann von frischem Grün. Bei der Station Neumayer III hat das DLR vor einem Jahr ein Gewächshaus in einem Container aufgestellt, in dem ein Forscher Salat und Gemüse angebaut hat. Das Projekt war ein Test für künftige Raumfahrtmissionen. Der verlief erfolgreich, aber nicht reibungslos.
Ein Interview von Werner Pluta

  1. Eden ISS DLR will Gewächshaus-Container am Südpol aus Bremen steuern
  2. Eu-Cropis DLR züchtet Tomaten im Weltall
  3. NGT Cargo Der Güterzug der Zukunft fährt 400 km/h

Schwer ausnutzbar: Die ungefixten Sicherheitslücken
Schwer ausnutzbar
Die ungefixten Sicherheitslücken

Sicherheitslücken wie Spectre, Rowhammer und Heist lassen sich kaum vollständig beheben, ohne gravierende Performance-Einbußen zu akzeptieren. Daher bleiben sie ungefixt. Trotzdem werden sie bisher kaum ausgenutzt.
Von Hanno Böck

  1. Sicherheitslücken Bauarbeitern die Maschinen weghacken
  2. Kilswitch und Apass US-Soldaten nutzten Apps mit fatalen Sicherheitslücken
  3. Sicherheitslücke Kundendaten von IPC-Computer kopiert

Nubia Red Magic Mars im Hands On: Gaming-Smartphone mit Top-Ausstattung für 390 Euro
Nubia Red Magic Mars im Hands On
Gaming-Smartphone mit Top-Ausstattung für 390 Euro

CES 2019 Mit dem Red Magic Mars bringt Nubia ein interessantes und vor allem verhältnismäßig preiswertes Gaming-Smartphone nach Deutschland. Es hat einen Leistungsmodus und Schulter-Sensortasten, die beim Zocken helfen können.
Ein Hands on von Tobias Költzsch

  1. ATH-ANC900BT Audio Technica zeigt neuen ANC-Kopfhörer
  2. Smart Clock Lenovo setzt bei Echo-Spot-Variante auf Google Assistant
  3. Smart Tab Lenovo zeigt Mischung aus Android-Tablet und Echo Show

    •  /