|
Joomla-Erweiterung 'perForms' mit Sicherheitsproblematik |
|
|
|
|
Geschrieben von siorista Detlef Senftinger
|
 Ein Botnetz-Betreiber nutzt derzeit eine bislang unbekannte Schwachstelle in der Joomla-Erweiterung perForms aus,
um auf Joomla-Servern mit der verwundbaren Erweiterung einen IRC-Bot zu
installieren. Infizierte Rechner lassen sich an einem laufenden
Prozess namens httpdse und einer ausgehenden IRC-Verbindung erkennen.
Der ausgenutzte Programmierfehler befindet sich in der PHP-Datei
components/com_perform/perform.php. Sie bindet externe Dateien über den
globalen Parameter $mosConfig_absolute_path ein, ohne zuvor
sicherzustellen, dass er nicht manipuliert wurde. Ein Angreifer kann
dadurch unter Umständen beliebigen PHP-Schadcode nachladen, wenn der
Webserver mit register_globals=on läuft. Das Botnetz nutzt die
Suchmaschine Google, um nach weiteren potenziellen Opfern zu suchen.
Laut Nepenthes-Entwickler Markus Kötter umfasst es derzeit rund 100
kompromittierte Server und wächst. mehr...
Quelle: www.heise.de
|
