-------------------------------------------------------
Update vom 30.07.2015 15:40:
-------------------------------------------------------
Sehr geehrte Kundinnen und Kunden,
wir haben jetzt eigene Pakete für Debian Wheezy gebaut und in folgendem Repo veröffentlicht:
http://froxlormirror.netcup.net/froxlor-nc
Um unser Repo zu aktivieren, können Sie auf Debian Wheezy wie folgt vorgehen:
ACHTUNG: Die Anwendung geschieht auf eigenes Risiko. Wir können keine Fehler ausschließen.
echo "#Mirror for netcup builds if main mirror lack new release" >> /etc/apt/sources.list.d/froxlor.list
echo "deb http://froxlormirror.netcup.net/froxlor-nc $(lsb_release -c -s) main" >> /etc/apt/sources.list.d/froxlor.list
apt-key adv --fetch-keys http://froxlormirror.netcup.net/froxlor-nc/netcup-release-key.gpg
Folgende Befehle aktivieren das Repo und spielen das Update ein:
-------------------------------------------------------
Ursprünglicher Beitrag (bitte auch lesen):
-------------------------------------------------------
Sehr geehrte Kundinnen und Kunden,
wir wurden soeben über eine schwerwiegende Sicherheitslücke in Froxlor informiert. Über die Sicherheitslücke können Angreifer remote das Datenbankpasswort unter Umständen auslesen. Die Sicherheitslücke wird in Version 0.9.33.2 gefixt. Aktuell steht für Debian diese Version noch nicht zur Verfügung.
Bis dahin empfehlen wir betroffene Server mit folgenden Befehlen zu schützen:
Achtung: Das Anwenden dieser Empfehlung geschieht auf eigenes Risiko. Weitere Fehler können nicht ausgeschlossen werden.
Das sorgt dafür, dass die kritische URL umgeleitet wird. Sobald die neue Version von Froxlor auch für Debian zur Verfügung steht, empfehlen wir diese per Paketverwaltung zu aktualisieren und anschließend die Zeile
wieder aus der Datei /etc/apache2/apache2.conf zu entfernen.
Folgend nun die genauen Details zur Sicherheitslücke:
"Hello,
I just want to inform you that froxlor version 0.9.33.1 and earlier has an
information leak. (The database password is fully visible for unauthenticated
remote attackers via the filepath /logs/sql-error.log)
A CVE for this issue is requested and will be available/public soon.
The vulnerability is fixed upstream in froxlor version 0.9.33.2.
Please inform your customers. You can gain further informations on the
oss-security mailinglist: oss-security@lists.openwall.com
Greetings
[persönliche Daten entfernt]
Here is a technical description about this issue:
Summary
========
An unauthenticated remote attacker is able to get the database password via
webaccess due to wrong file permissions of the /logs/ folder in froxlor version
0.9.33.1 and earlier. The plain SQL password and username may be stored in the
/logs/sql-error.log file. This directory is publicly reachable under the default
configuration/setup.
Notes
=====
Some default URLs are:
- http://website.tld/froxlor/logs/sql-error.log
- http://cp.website.tld/logs/sql-error.log
- http://froxlor.website.tld/logs/sql-error.log
The certain section looks like this:
/var/www/froxlor/lib/classes/database/class.Database.php(279):
PDO->__construct('mysql:host=127....', 'DATABASE_USER', 'PLAIN_DATABASE_PW',
Array)
Please note that the password in the logfile is truncated to 15 chars, therefore
passwords longer than 15 chars are not fully visible to an attacker."
Wir sind dabei alle Kunden die Froxlor einsetzen könnten zu informieren. Neuinstallationen von Froxlor über unsere Image-Verwaltung sind bereits mit dem oben genanntem Schutz versehen.
Wir empfehlen auch zu prüfen, ob sich Dritte bereits Zugang zu Ihrem System verschaffen konnten.
Fragen zu dem Thema bitte nicht beim Support stellen. Dafür ist z.B. Platz in diesem Beitrag. Der Support beantwortet keine Fragen zur individuell eingesetzten Software.
Mit freundlichen Grüßen
Felix Preuß