Joomla Komponente eWriting unsicher
Die Joomla Komponente eWriting enthält eine schwerwiegende Sicherheitslücke. Angreifer könnten die Datenbank kompromittieren.
Joomla Komponente eWriting unsicher
Bei der Joomla-Komponente eWriting handelt es sich um eine Anwendung, mit der man Stories und Fanfictions erstellen und verwalten kann. Es können Geschichten geschrieben und in einzelne Kategorien unterteilt werden. Die Anwender können eigene Geschichten beisteuern, Kritiken hinterlassen und noch einige Features mehr.
Die Komponente scheint schon einige Jahre auf dem Buckel zu haben. Beim Entwickler kann man sich eine Anleitung in Englisch aus dem Jahre 2005 zu Gemüte führen.
Alle nötigen Dateien zur Komponente können hier heruntergeladen werden. (Links funktionieren nicht mehr und wurden entfernt) Darunter sind Module, Iconsets, Sprachdateien und zusätzliche nützliche Sachen. So gibt es zum Beispiel einen Joomlaboard-Hack und ein Plugin für den Community Builder.
Das wäre jetzt alles ganz toll, wenn nicht diese wirklich gefährliche Sicherheitslücke aufgetaucht wäre, zu der es leider bisher auch keinen Patch gibt.
Das Installationsscript von eWriting ist unsicher. Damit wird es Angreifern ermöglicht, schädlichen SQL-Code in die Datenbank einzuschleusen. Informationen durchlaufen den "cat" -Parameter des Installationsscripts.
Durch die Manipulation von SQL-Queries könnten Angreifer die Passwort und Username -Hashes eines Administrators erhalten. Allerdings ist dafür die Kenntnis des Datenbank-Tabellen-Prefix erforderlich.
Das Problem besteht für die Version 1.2.1 und somit sicher auch für alle älteren Versionen.
Man könnte jetzt selbst am Source Code herumbasteln, um das Problem zu lösen. Solange man auf der Entwicklerseite keine Bemühungen feststellen kann die Sicherheit schnell wieder gewährleisten zu wollen, würde ich aber grundsätzlich abraten eine solche Komponente überhaupt zu verwenden.
Die letzten News auf der Seite des Entwicklers stammen vom 16. September 2007, allerdings scheint das Forum dort recht aktuell zu sein.
Wir üben uns also in Geduld und verzichten bis zum Erscheinen eines Patches auf die sicher sehr interessante Komponente, die allerdings auch nicht jeder unbedingt braucht.