Information Leakage im Simplr Registration Form Plus+ Plugin
18.08.2014 yahe legacy security wordpress
Zur Abwechslung mal nur ein kleineres Problem, dieses Mal im Simplr Registration Form Plus+ Plugin. Dort ist es möglich, die Datei "simplr-registration-form/simplr_reg_options.php" direkt aufzurufen. Darin befindet sich dann eine Liste aller statischen Seiten der WordPress-Webseite, also auch solche, die nicht öffentlicht verlinkt sind.
Bugs in zwei WordPress-Plugins verwandelten Blogs in Download-Portale
15.08.2014 yahe legacy security wordpress
Vor ein paar Tagen habe ich eine spannende Lücke in zwei miteinander verwandten WordPress-Plugins gefunden. Dabei handelt es sich um den WP Advanced Importer und den WP Ultimate CSV Importer. Beide Plugins bringen die Dateien "./templates/uploader.php" und "./templates/UploadHandler.php" mit sich. Bei ersterer handelt es sich um einen ungeschützten Einstieg, während zweitere den eigentlichen, schadhaften Code enthält.
Bug in WP CSV Plugin erlaubte Dateidownload
12.08.2014 yahe legacy security wordpress
Vor ein paar Tagen fand ich im WordPress-Plugin WP CSV einen interessanten Fehler. Dort war die Datei "download_view.php" ohne weiteren Schutz aufrufbar. Eigentlich dient diese Datei dazu, die erstellten CSV-Exports herunterladen zu können. Doch leider wurde nicht sichergestellt, dass die Datei nicht von außen aufgerufen werden kann. Das führte dazu, dass ein Angreifer per GET-Parameter einen beliebigen Dateinamen übergeben konnte. Existierte diese Datei und endete ihr Name auf ".csv", so wurde sie heruntergeladen, auch, wenn sie sich in einem von außen unzugänglichen Ordner befand. Doch noch mehr: In älteren PHP-Versionen ermöglichte die Form der Prüfung potentiell eine Null Byte Injection, sodass nicht ausgeschlossen werden kann, dass beliebige Dateien heruntergeladen werden konnten.
Der Bug ist jedenfalls in der neuen Version 1.6.0 gefixt worden. Es ist deshalb angeraten, sobald wie möglich auf die neue Version upzudaten.
Bug in WP RSS Aggregator erlaubte XSS
11.08.2014 yahe legacy security wordpress
Am Freitag fand ich einen bemerkenswerten Fehler im WordPress-Plugin WP RSS Aggregator. Dieses Plugin ist eigentlich dafür gedacht, RSS-Feeds in den eigenen Blog zu integrieren. Das Plugin ermöglichte es aus mir unbekannten Gründen, beliebigen Text auszugeben, der im POST-Parameter "wprss-sysinfo" übergeben wurde.
TeamViewer: Ein Konzept macht noch keine Sicherheit
01.07.2014 yahe legacy security thoughts
Heute hatte ich das Vergnügen, die Bekanntschaft mit dem TeamViewer zu machen, einem Tool, das es ermöglicht, VPN-Verbindungen durch restriktive Firewalls hindurch aufzubauen. Das ganze funktioniert mit einer User-ID und einem Passwort, was gerade dazu einlädt, diese einfache Lösung zu verwenden. Aber wie genau funktioniert das dann? Und wie sicher ist der Verbindungsaufbau und die darüber übertragenen Daten?
TLS-Client-Authentication mit NGINX und PHP-FPM
18.06.2014 yahe administration legacy linux security
Seit ich es bei StartSSL gesehen habe, habe ich mich gefragt, wie ein Login über TLS-Client-Zertifikate funktionieren kann. So schwierig, wie man es sich im ersten Moment vorstellt, ist es eigentlich gar nicht.
PHP-FPM chroot + Zend OpCache = Problem
22.04.2014 yahe administration legacy linux security
Ich habe testweise einmal den Zend OpCache ausprobiert, der seit PHP 5.5.0 direkt enthalten ist und war eigentlich ziemlich zufrieden. Der Speicherverbrauch bei der Ausführung von WordPress war auf 1/5 geschrumpft. Allerdings haben sich Probleme gezeigt, bei denen ich noch nicht genau weiß, wie ich sie beheben soll.
Wordpress mit verschiedenen Datenbanknutzern absichern
28.02.2014 yahe administration code legacy security wordpress
WordPress ist nicht gerade ein Stück Software, das für sein herausragendes Sicherheitskonzept bekannt ist. Viele Dinge muss man erst mühsam im Alleingang nachbessern. So hat es mich schon immer gestört, dass Nutzer, die sich meinen Blog ansehen, im Hintergrund den gleichen Datenbanknutzer verwenden, wie ich als Administrator, der die Seite konfiguriert und neue Bloginhalte bereitstellt. Wenn es möglich wäre, wenigstens für diese zwei stark gegenteiligen Nutzungsszenarien verschiedene Datenbanknutzer zu verwenden, wäre schon viel erreicht.
calc.pw beim 30C3
06.01.2014 yahe arduino calcpw hardware legacy publicity security
Das Ende des letzten Jahres hatte es in sich: Ich durfte auf dem 30C3 einen Vortrag zu calc.pw halten.
Im Vortrag selbst habe ich die Idee hinter calc.pw vorgestellt, was ich mir für eine Lösung ausgedacht habe, welchen Problemen ich bei der Implementierung begegnet bin, wie ich diese gelöst habe und welche Pläne ich für die kommende Zeit habe.
Wer sich das ganze ansehen mag, kann sich die MP4-Datei direkt beim CCC herunterladen.
Software-Reset aus dem Arduino Leonardo herauspatchen
19.12.2013 yahe arduino code hardware legacy security
Der Arduino Leonardo, der nun seit etwa einem Jahr auf dem Markt ist, besitzt dank seines ATmega 32u4 direkt die Möglichkeit, eine USB-Verbindung mit dem PC aufzubauen. Auf dem Arduino Uno war dafür ein separater Mikrocontroller zuständig. Durch diese Änderung hat sich jedoch auch die Art, wie Resets über den USB-Anschluss angestoßen werden, geändert. Dieser Reset ist inzwischen eine reine Software-Routine und kann falls nötig herausgepatcht werden.
