14:07 Dienstag, 21. Februar 2006

Am 20.2.2006 meldet Heise.de, dass der Linux-Wurm Luper mutiert und inzwischen das Open Source Redaktionssystem Mambo attakiert. Ein Redakteur mit Kürzel cr schreibt dazu auf Heise.de:

"Die erste Lupper-Generation nutzte die längst behobene XMLRPC-Lücke beispielsweise in Wordpress, TikiWiki, phpGroupware und Drupal sowie Schwachstellen in AWStats und Webhint aus."

Hm. Nicht ganz richtig recherchiert... und vor allem, und das ist meine Kritik: dem Leser wird keinen wirklich brauchbaren Hinweis gegeben, wie dem Problem begegnet werden kann, nur "betroffene" Programme updaten ist Flickschusterei, aber hier hätte man ja weiter recherchieren müssen...

Zum Hintergrund: Luper und Varianten nutzen eine Schwachsstelle in XMLRPC aus, einem eigenständigen Open Source Projekt, das zufälligerweise in einer ganzen Reihe an PHP/MySQL-basierten Webanwendungen steckt, die oben genannte Auswahl ist also ziemlich willkürlich gegriffen und verbreiten eher FUD als Information zumal bei Bekanntwerden der Schwachstelle fast alle Projektteams die XMLRPC bereits gegen Ende letzten Jahres aktualisert.
AWStats ist hier bereits wieder eine ganz andere Sache, denn AWStats ist mit Perl geschrieben, und die Schwachsstelle ist eine ganz andere, auch wenn der Mechanismus gleich ist: über GET oder POST wird dem Server per Injection ein Schadprogramm eingespielt. Das gemeine ist: wo früher Firewalls halfen, hilft hier diese Form der Absicherung nicht, da die Kommunikation und das Schadprogramm dummerweise über Port 80 - also normale HTTP-Kommunikation eingespielt wird. Auch davon: kein Wort in dem Artikel.

Statt dessen wird über Mambo her gezogen, das im übrigen seit letzten Herbst einen Fork namens Joomla hat. Auch davon kein Wort.

Im schlechtesten Falle ist die News sogar schon alt bis abgeschrieben, denn über besagte Mambo-Sicherheitslücke hatten in den vergangenen Monaten sogar sämtliche Linux- und PHP-Magazine geschrieben. Wozu dann also diese FUD-Meldung, die noch nicht einmal den einzig wirklichen momentan bekannten Schutz erwähnt: nämlich den Einsatz des Apache-Moduls mod_securty (http://www.modsecurity.org)... Selbst 1&1 setzt mod_security inzwischen auf seinen Server ein, es ist eine Art GET/POST-Filter, durch den jede hereinkommende Anfrage an den Apache auf bekannte Signaturen abgesucht wird. Wird eine Injection-Spur entdeckt, wird der Verkehr von dieser Quelle geblockt. Auf http://www.modsecurityrules.com werden regelmäßig neue Signatur-Files veröffentlicht, unter diesem Link wird dazu eine Anleitung sowie ein kleines Progrämmchen angeboten, welche notorische Angreifer per iptables auch gänzlich sperren...

Doch von all dem kein Wort bei heise. Wenn ein Feld-Wald-Wiesen-Medium einen solchen Artikel verfasst, ist dem noch fast nachzusehen, wenn aber die Redakteure von heise es nicht für nötig halten, fundiert zu berichten, ist das fast verbrecherisch.

Diese Fälle häufen sich und der hier angegebene Artikel ist nur einer von vielen Beispielen. Es wäre sehr gut, wenn wachsame Menschen hier auf boocompany.com einen kritischen Blick auf heise.de halten!

Mein Eindruck bei heise schon seit längerem ist: obwohl heise.de angeblich einen Firfox-Useranteil von fast 50% hat scheint die Stimmungsmache bei Redakteuren generell doch immer wieder ein wenig gegen Open Source zu laufen...

Quelle: http://www.heise.de/newsticker/meldung/69855