Schnelle Bestätigung vom SPIP-Team :
Das Sicherheitsloch ist bekannt und beseitigt. Ein Update löst das Problem 
Einen Link zu Hintergrundinfos gibt es auch :
http://blog.spip.net/Lecon-de-Hack-et-mises-a-jour-de.html
klaus++
-------- Original Message --------
Subject: Re: [spip-de] Lustige Zombies - Angriffsvektor
Date: Mon, 15 Dec 2014 09:24:54 +0100
From: Quentin Drouet <kent1@arscenic.info>
To: "klaus++" <klaus@spip.de>
Cc: SPIP-Team <spip-team@rezo.net>
Oui klaus
Une mise à jour est importante
Cette faille est corrigée
http://blog.spip.net/Lecon-de-Hack-et-mises-a-jour-de.html [1]
Q.
2014-12-15 7:24 GMT+01:00 klaus++ :Salut,
est-ce que cette faille de securite est connue ? On peut obtenir les
droits d'un admin en envoyant une requete de mdp perdu comme decrit plus
bas. Merci pour une repose, je dois expliquer sur spip-de@rezo.net [3]
comment faire.
klaus++
On Sat, 13 Dec 2014 13:57:27 +0100, Mozaik Redaktion wrote:
Lieber Klaus, liebe Kollegin, lieber Kollege
Hier mal ein Zwischenbericht wegen den lustigen Zombies. Der Hacker
Programiix hat verraten, wie er das spip überlistet:
1.
http://www.mozaikzeitung.ch/spip/spip.php?page=identifiants&mode=0minirezo
[5]
[1]
Keine Ahnung, wie der Typ auf diesen String kommt. Wenn man da
raufklickt, kommt die Möglichkeit, sich als Autor einzuloggen:
z.B. Mit Theo Schaffner (fiktives Beispiel). Dann kommt:
2. Quartierzeitung Mozaik
WARNING: Illegal string offset 'id_auteur' in
/HOME/HTTPD/VHOSTS/MOZAIKZEITUNG.CH/HTTPDOCS/SPIP/PLUGINS-DIST/REVISIONS/INC/REVISIONS_PIPELINE.PHP
[6]
on line 216
WARNING: Illegal string offset 'nom' in
/HOME/HTTPD/VHOSTS/MOZAIKZEITUNG.CH/HTTPDOCS/SPIP/ECRIRE/INC/MODIFIER.PHP
[7]
on line 258
WARNING: Illegal string offset 'id_auteur' in
/HOME/HTTPD/VHOSTS/MOZAIKZEITUNG.CH/HTTPDOCS/SPIP/PLUGINS-DIST/REVISIONS/INC/REVISIONS_PIPELINE.PHP
[8]
on line 225
WARNING: Illegal string offset 'nom' in
/HOME/HTTPD/VHOSTS/MOZAIKZEITUNG.CH/HTTPDOCS/SPIP/ECRIRE/INC/MODIFIER.PHP
[9]
on line 258
WARNING: Illegal string offset 'nom' in
/HOME/HTTPD/VHOSTS/MOZAIKZEITUNG.CH/HTTPDOCS/SPIP/ECRIRE/INC/MODIFIER.PHP
[10]
on line 258
WARNING: Cannot modify header information - headers already sent by
(output started at
/home/httpd/vhosts/mozaikzeitung.ch/httpdocs/spip/plugins-dist/revisions/inc/revisions_pipeline.php:216
[11])
in
/HOME/HTTPD/VHOSTS/MOZAIKZEITUNG.CH/HTTPDOCS/SPIP/ECRIRE/INC/ACTIONS.PHP
[12]
on line 89
Ihre neuen Zugangsdaten wurden Ihnen per Mail zugestellt.
3. Im Email-Konto kommt dann
Hallo Theo Schaffner,
Bitte öffnen sie folgenden URL zum Bestätigen ihrer Maiadresse:
http://www.mozaikzeitung.ch/spip/spip.php?action=confirmer_inscription&email=theo@lampenwerk.ch&jeton=500079018548c2b71(usw
[13].)
[2]
Hier sind Ihre Zugangsdaten um Artikel für die Website
"Quartierzeitung
Mozaik" (http://mozaikzeitung.ch/spip/ecrire/ [14] [3])
vorzuschlagen:
- Login: theo@lampenwerk.ch [15] [4]
- Passwort: 1234abcd (fiktiv)
4. Klickt man auf den Link, wird man aktiviert.
Dann ist man im System und hat Administratoren-Rechte. Deshalb:
5. Ich rate Euch allen, bei der Konfiguration (Interaktivität) das:
Automatische Anmeldung neuer Redakteure vom öffentlichen Bereich
aus
zu deaktivieren (Anmeldungen verhindern Button anklicken!)
Die Leute bekommen anscheinend automatisch Administrations-Rechte
und nicht Besucher-Status.
Wenn man intern Besucher anmeldet, ist alles okay, dort bekommen die
Eingetragenen Redakteuren-Rechte und nicht Admin-Rechte.
Meine Frage: Handelt es sich um die bekannte Formular-Verwundbarkeit?
Ich werde jetzt mal das System von 3.0.5 auf 3.0.17 updaten und
hoffen, dass damit die Formular-Verwundbarkeit ausgemerzt ist.
Natürlich habe ich auch, gemäss Anweisung von Klaus, alle
Passwörter nochmals gewechselt, den Shelldetektor laufen lassen
(negativ) den Parasiten-Detektor laufen lassen (negativ). Habe auch
alles unnötige Zeug gelöscht (Dateien, User, usw.) Die Site läuft
auf einem Reseller-Account, ich denke, dort werden die Hausaufgaben
gemacht, ich gebe dort eine tiefe Priorität, was Hackmöglichkeiten
anlangt.
Wenn es sich NICHT um die Formular-Verwundbarkeit handelt, wie fixen
wir das Loch so schnell wie möglich? Mit dieser Frage habe ich mich
jetzt noch nicht vertieft befasst. Ist das überhaupt ein Loch?
Jedenfalls: Die öffentlichen Redakteure sollten Besucher-Status
erhalten und nicht publizieren dürfen.
Was meinst Du, Klaus, bist Du mit dieser Analyse soweit einverstanden?
Liebe Grüsse und wie immer grossen und herzlichen Dank für die Hilfe
Nicholas
-->
Links:
------
[1]
http://www.mozaikzeitung.ch/spip/spip.php?page=identifiants&mode=0minirezo
[16]
[2]
http://www.mozaikzeitung.ch/spip/spip.php?action=confirmer_inscription&email=theo@lampenwerk.ch&jeton=500079018548c2b71d82b52.96826152
[17]
[3] http://mozaikzeitung.ch/spip/ecrire/ [18]
[4] http://webmail.lampenwerk.ch/imp/dynamic.php?page=mailbox [19]
--
-----------------
http://www.kent1.info [20] - http://www.mediaspip.net [21]
phone : +33 (0)616706301
mail: kent1@arscenic.info [22]
Links:
------
[1] http://blog.spip.net/Lecon-de-Hack-et-mises-a-jour-de.html
[2] mailto:klaus@spip.de
[3] mailto:spip-de@rezo.net
[4] mailto:info@mozaikzeitung.ch
[5]
http://www.mozaikzeitung.ch/spip/spip.php?page=identifiants&mode=0minirezo
[6]
http://MOZAIKZEITUNG.CH/HTTPDOCS/SPIP/PLUGINS-DIST/REVISIONS/INC/REVISIONS_PIPELINE.PHP
[7] http://MOZAIKZEITUNG.CH/HTTPDOCS/SPIP/ECRIRE/INC/MODIFIER.PHP
[8]
http://MOZAIKZEITUNG.CH/HTTPDOCS/SPIP/PLUGINS-DIST/REVISIONS/INC/REVISIONS_PIPELINE.PHP
[9] http://MOZAIKZEITUNG.CH/HTTPDOCS/SPIP/ECRIRE/INC/MODIFIER.PHP
[10] http://MOZAIKZEITUNG.CH/HTTPDOCS/SPIP/ECRIRE/INC/MODIFIER.PHP
[11]
http://mozaikzeitung.ch/httpdocs/spip/plugins-dist/revisions/inc/revisions_pipeline.php:216
[12] http://MOZAIKZEITUNG.CH/HTTPDOCS/SPIP/ECRIRE/INC/ACTIONS.PHP
[13]
http://www.mozaikzeitung.ch/spip/spip.php?action=confirmer_inscription&email=theo@lampenwerk.ch&jeton=500079018548c2b71(usw
[14] http://mozaikzeitung.ch/spip/ecrire/
[15] mailto:theo@lampenwerk.ch
[16]
http://www.mozaikzeitung.ch/spip/spip.php?page=identifiants&mode=0minirezo
[17]
http://www.mozaikzeitung.ch/spip/spip.php?action=confirmer_inscription&email=theo@lampenwerk.ch&jeton=500079018548c2b71d82b52.96826152
[18] http://mozaikzeitung.ch/spip/ecrire/
[19] http://webmail.lampenwerk.ch/imp/dynamic.php?page=mailbox
[20] http://www.kent1.info
[21] http://www.mediaspip.net
[22] mailto:kent1@arscenic.info