WebsiteBaker Ankündigungen

Ankündigungen

Sicherheitslücke (Backup-Modul in WB Core)

Veröffentlicht von WB Team am 27.03.2010. Zuletzt geändert am 06.01.2011.

Eine Sicherheitslücke im Backup-Modul von WebsiteBaker CMS wurde gefunden.

Erweiterte Information: Jeder kann das Backup-Modul von irgendwoher benutzen und das Backup direkt auf jeden Computer herunterladen, ohne dass Sie dies feststellen können.


Betroffene Systeme
- WebsiteBaker Version: 2.7, 2.8.0, 2.8.1 (bis zur SVN Nummer 1308).
- Alle Installationen mit einem installierten Backup-Modul sind betroffen. Das Backup-Modul ist Teil des WebsiteBaker Paketes (gewesen) und wurde standardmäßig installiert!

Auswirkung der Schwachstelle
- Ein Exploit (dt. etwa "Schadcode") wurde auf "bekannten Hackerseiten" veröffentlicht.
- Mit diesem Exploit kann jeder die gesamte Datenbank herunterladen, das Passwort knacken und die WebsiteBaker Installation übernehmen.

Schweregrad der Schwachstelle
- Höchster (für Systeme die alle Bedingungen unter "Betroffene Systeme" erfüllen).
- Keine (für alle anderen Systeme, z.B. mit deinstalliertem Backup-Modul und / oder Version 2.6.7 oder darunter).

Anleitung zum reparieren
- Bis jetzt gibt es keinen unterstützen Patch. Bitte deinstallieren Sie sofort das Backup-Modul.
- Bitte ändern Sie alle Passworte in Ihren betroffenen WebsiteBaker Installationen. Lassen Sie dies auch Ihren Benutzern wissen.

Weitere Fragen & Antworten

Frage: Wie kann ich das Backup-Modul deinstallieren?

Antwort: Es gibt verschiedene Wege - leider ist das abhängig von Ihrer Serverkonfiguration.
Erster Weg:

  1. Entfernen von _ihrewbinstallation/modules/backup mit einem FTP-Programm

  2. Erstellen eines neuen Abschnitts in "Seiten" des Typs "Code" mit Sichbarkeit registriert (um Gäste zu vermeiden)
    Im Codeabschnitt folgenden Code einfügen:
    Code:

    $results = $database->query("delete FROM ".TABLE_PREFIX."addons WHERE name = 'backup'");

  3. Die neu erstellte Seite aufrufen im Frontend (mit "Ansicht" in dem Seitenbaum) - dies wird den PHP-Code starten, der den Backup-Modul Eintrag aus der Erweiterungenliste (Add-ons Liste) entfernt

  4. Die gesamte Seite mit dem Codeabschnitt löschen

Zweiter Weg:
Einfach das "Backup" Modul unter "Erweiterungen" -> "Module" -> "Modul deinstallieren" deinstallieren.

Frage: Wieso wird das Backup-Modul nicht (schneller) repariert?
Antwort: Das Modul wird ab jetzt als "veraltet" / "nicht mehr unterstützt" von dem Qualitätssicherungs(QA)-Team eingestuft. Dies hat mehrere Gründe: Es ist nicht wirklich nützlich um eine komplette WebsiteBaker-Installation zu sichern da es keine Möglichkeit zum Hochladen hat, und es hat weitere Fehler mit modernen Datenbanken.

Frage: Wird es eine neue Sicherungsmethode der Datenbank geben?
Antwort: Vielleicht wird dies kurz-mittelfristig erfolgen - aber es ist nicht ganz sicher. Seit der SVN-Nummer 1308 (2.8.1) wird es vorerst kein offizielles Backup-Modul geben bis wir es Ihnen mitteilen.

Frage: Wie kann ich WebsiteBaker sichern?
Antwort: Sicher hat Ihr Webhoster eine Datenbankmanagement Programm, zum Beispiel PHPMyAdmin oder MySQLdumper. Bitte benutzen Sie diese Programme um die Datenbanken zu sichern. For sure your webhost has some database management system, e.g. PhpMyAdmin. Sichern Sie auch andere FTP-Daten wie /pages (mit der neuesten SVN-Version nicht mehr nötig, aber - SVN ist ja nicht stabil), /media, Module & Designvorlagen usw.

Frage: Wie kann ich feststellen, ob jemand schon meine Datenbank heruntergeladen hat?
Antwort:

  1. Laden Sie die Log-Files des betroffenen Webspaces (des aktuellen Monats, oder welchen Zeitraum Sie für sinnvoll halten) herunter. Wenn Sie nicht wissen, wo sich die Log-Files befinden, fragen Sie Ihren Webhoster.
  2. Suchen Sie mit Notepad++ / PSPad oder anderen geeigneten Texteditoren in allen Log-Files nach "modules/backup/backup-sql.php", kontrollieren die IP-Adressen bei positiven Suchergebnissen
  3. Gleichen Sie auch Datum und Uhrzeit mit den von Ihnen selbst erstellten Backups ab

Hinweis: Es kann in manchen Ländern (wie Deutschland) sein, dass das "durchforsten" und speichern von IP-Adressen rechtlich bedenklich oder sogar verboten ist. Wir haben Sie hiermit darauf hingewiesen - dies erfolgt absolut auf eigene rechtliche und technische Gefahr! Im Zweifelsfall ist das Speichern und Durchforsten von IP-Adressen nicht erlaubt.

Danksagungen
Wir wollen uns bei den Mitgliedern pelotillehuito und FrankH für das melden des Exploits und dem QA-Team für die schnelle und klare Reaktion bedanken.

Michael Tenschert (WebsiteBaker Homepage Team)

« Zurück