Dies ist die Kopie einer EMail an die Mailinglisten tiki-users und tiki-dev.



Hallo,

dies ist eine Nachricht von großer Wichtigkeit an die Admins aller Tiki-Versionen!

Wir (security@tw) wurden unterrichtet, daß es möglich ist, PHP-Dateien in das $tikiroot/temp/ Verzeichnis einzuschleusen. Angreifer versuchen dies zusammen mit einem PHP Script, das ihm ssh-ähnliche Kontrolle über den Server gibt, mit allen Rechten des Webserver-Benutzers. Dies ähnelt dem, was schin in http://de.tikiwiki.org/tiki-read_article.php?articleId=45 beschrieben wurde.

Wir wissen von wenigstens einem Server, der so zerstört wurde und komplett neu aufgesetzt werden mußte. Lassen Sie das nicht bei Ihrem Server zu.

Bitte überprüfen Sie den Inhalt des temp/ Verzeichnisses auf verdächtige Dateien (*.php, *.php3, phtml, ...) und löschen Sie diese. Sie können Sie außerdem auch gerne an uns weiterleiten: security at tikiwiki.org. Bekannte Namen für diese Dateien sind lol.php, gif.php, phpshell.php, shell.php. Es können natürlich beliebige Namen auftreten.

Dies betrifft alle TikiWiki-Versionen außer den CVS-Version 1.8 und 1.9 von heute.


Außerdem ist es sinnvoll, direkte Zugriffe auf temp/ generell zu unterbinden. Dazu kann eine .htaccess Datei benutzt werden, die in das entsprechende Verzeichnis gelegt wird, oder die httpd.conf von Apache entsprechend angepaßt werden. Eine Beschreibung gibt es in http://de.tikiwiki.org/tiki-read_article.php?articleId=45, es muß nur temp/ statt img/ als Verzeichnis angegeben werden.

Offizielle Releases 1.8.5 und 1.9 DR4 werden wir so bald als möglich auf Sourceforge veröffentlichen.

Weiterhin können Sie uns jederzeit im IRC ansprechen: irc.tikiwiki.org, Channel #tikiwiki. Details dazu gibt es hier.

Schützen Sie Ihr Tiki und geben Sie die Informationen weiter an andere Tiki-Nutzer!


Sie können weitere Aktualisierungen erwarten, wir untersuchen den Code momentan systematisch nach möglichen weiteren Schwachstellen. Sobald wird finale Pakete bereitstellen, installieren Sie diese bitte!