Gefährliche Sicherheitslücke in Froxlor

  • Hallo,


    ich habe auch gerade die E-Mail bekommen:


    Zitat

    Unter folgender URL konnten wir die Sicherheitslücke nachvollziehen:


    http://X.X.X.X/froxlor/logs/sql-error.log


    Bitte nehmen Sie diese Sicherheitslücke sehr ernst. Unbefugte Dritte können über diese Sicherheitslücke Zugriff auf Ihren Server erhalten. Da bereits einige Zeit vergangen ist sollten Sie auch sicher stellen, dass Ihr System nicht bereits kompromittiert ist.


    Ich habe auf dem Server kein Froxlor installiert. Beim Aufruf des Links kommt eine Fehlerseite. Vielleicht sollten Sie beim nächsten Mal ihr Tool zum Überprüfen genauer testen, bevor sie es auf Ihre Kunden loslassen ;)


    Eine Frage dazu habe ich auch noch: Habe ich beim Kauf des Servers in den Vertragsbedingungen meine Zustimmung zum Scan meiner Systeme auf Sicherheitslücken gegeben? Im Prinzip ist das zwar ein netter Gedanke von Ihnen, vielleicht sollte man die Kunden aber vorher fragen, bevor man in Kundensystemen nach Sicherheitslücken sucht.

  • Kann es sein, dass das zum persönlichen Warnen verwendete Skript etwas großzügig reagiert, etwa sobald was anderes als Antwort 404 zu der zu testenden URL http://x.x.x.x/froxlor/logs/sql-error.log vom Server zurück kommt?


    Scheint mir auch so, habe wohl zu langsam getippt ;)
    Mein Server liefert 200 OK, daher in meinem Fall wenig verwunderlich dass ein Test anschlägt, hätte mir nur eine entsprechende Formulierung in der Mail gewünscht (was genau getestet wurde).

  • Wir konnten unseren Algorithmus verfeinern. Es gab leider einige Falschmeldungen. Die Kunden die eine Falschmeldung erhalten haben, werden wir jetzt nochmals darüber informieren.


    Wir bitten für die Umstände um Entschuldigung.



    Mit freundlichen Grüßen


    Felix Preuß

  • Eine Frage dazu habe ich auch noch: Habe ich beim Kauf des Servers in den Vertragsbedingungen meine Zustimmung zum Scan meiner Systeme auf Sicherheitslücken gegeben? Im Prinzip ist das zwar ein netter Gedanke von Ihnen, vielleicht sollte man die Kunden aber vorher fragen, bevor man in Kundensystemen nach Sicherheitslücken sucht.


    Da hier ja offensichtlich nicht das Dateisystem durchsucht wurde, denn sonst wäre es nicht zu den paar Falschmeldungen gekommen, sondern nur ein Zugriff aus "dem Internet" erfolgt ist, kann ich Ihre Bedenken kein bisschen teilen. Während Sie das hier lesen wird Ihr Server vermutlich zig mal aus der ganzen Welt mit nmap und ähnlichen Tools inspiziert, das finde ich deutlich besorgniserregender als ein einzelner HTTP-Request.
    Sie können ja auch nicht geziehlt mir oder einem anderen einzelnen Menschen rechtlich den Zugriff auf ihre Webseite untersagen, höchstens durch Firewall oder andere Sicherheitsmaßnahmen blocken :D .
    Das einzige was über diesen Vergleich hinaus geht ist der Zugriff auf die IP-Adresse aus den Kundendaten um eben diese zu testen und uns anschreiben zu können. Seh ich aber nicht als "Scan" unserer Systeme, sondern netter Service. :thumbup:


  • Eine Frage dazu habe ich auch noch: Habe ich beim Kauf des Servers in den Vertragsbedingungen meine Zustimmung zum Scan meiner Systeme auf Sicherheitslücken gegeben? Im Prinzip ist das zwar ein netter Gedanke von Ihnen, vielleicht sollte man die Kunden aber vorher fragen, bevor man in Kundensystemen nach Sicherheitslücken sucht.


    Ich sehe das als Service, den andere Provider nicht bieten. Denen geht die Sicherheit ihrer Kunden am Arsch vorbei. Warum also darüber beschweren? Ignorier halt die Mails, wenn sie dir nicht wichtig erscheinen. Aber vielleicht freust du dich ja bei einer anderen Gelegenheit darüber, dass dich jemand auf ein Sicherheitsleck aufmerksam macht. :)

  • Moin,


    ich finde es sehr gut, dass man informiert wird, sehe das auch so lieber eine Meldung mehr,
    als dann Probleme wegen Sicherheitslücke, hab jetzt 0.9.33.2-1+wheezy1 drauf und die logs gelöscht.


    Danke und super Arbeit Netcup Team. Weiter so!



    LL&P
    Markus

  • Code
    /var/www/froxlor/logs# l
    drwxr-xr-x  2 www-data www-data 4096 Jul 30 04:24 ./
    drwxr-xr-x 14 www-data www-data 4096 Jul 30 04:24 ../
    -rw-r--r--  1 www-data www-data    0 Jul 29 16:41 .keep
    -rw-r--r--  1 www-data www-data    0 Jul 29 16:41 index.html

    »Hauptsache BogoMIPS!«

    Fleischfresser

  • netcup: Ich dachte eigentlich schon, dass die Meldung an alle Kunden raus ging ohne vorherigen Scan.


    Ich bekam zwei E-Mails, obwohl ich bei beiden genannten Systemen nirgends Froxlor einsetze und ein Aufruf der IP oder des Standardhostnamens auf Port 80 IMMER zu einem 404-er führt. Einer der Server reagiert sogar gar nicht auf Port 80, rejected die Anfragen aber auch nicht, sondern droppt sie einfach. Ich möchte mich hier nicht aufregen, ich finde den Service sehr gut, wollte das aber nur kurz melden. So wirklich zuverlässig scheint der Scan nicht zu sein.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Der Fehler ist auch in der offiziellen Version 0.9.3.2-1 auf Debian Wheezy nicht wirklich behoben. Die Log-Dateien werden nach wie vor mit einer Vorschau des Passwortes angelegt. Sollte man der DB Server ausfallen wird das Passwort, bzw Teile davon sogar direkt im Index gezeigt.

  • Guten Tag,



    wir konnten das bislang nicht nachvollziehen. Hatten Sie eventuell die Dateien nach dem Bugfix nicht gelöscht oder werden diese wirklich neu geschrieben?


    Kann jemand anderes dieses nachvollziehen?



    Mit freundlichen Grüßen


    Felix Preuß

  • Die Daten werden konstant neu geschrieben, was ich auch nicht blockieren kann. Allerdings wurde nicht mit dem Netcup Paket, sondern wirklich mit der Version von Froxlor selbst aktualisiert.


    Ich bin auch noch dabei das genauer zu untersuchen, wollte das nur sicherheitshalber hier vermerken, falls es kein Einzelfall ist.


    Sicherheitsprobleme wurden dadurch bei mir allerdings nicht ausgelöst, weil Froxlor das aktuelle Passwort noch gar nicht kennt.