Fwd: Schwere Sicherheitlücke in Netmon
Johannes Meyer
mail at meyerjohannes.de
Mo Mär 23 15:24:15 CET 2015
Tach in die Runde.
Diese angeblichen "Hacks" die da bei euch angefallen sein sollen waren
wohl eindeutig wir bei der Recherche.
Befehl:
https://netmon.freifunk-franken.de/api.php?section=1&class=echo+shell_exec%28%27cat+/etc/passwd%27%29%3b+%2f%2f
Tim ist seit 22.03.2015 00:52 vom Ansbacher Stesie informiert und mit
einem Patch versorgt. Der Fehler ist bereits 7 Tage zuvor an alle
FFNW-Gitlababonommenten (zu denen wir nicht gehörten) raus gegangen.
Mein Server und unser neuer Server (da basiert so gut wie alles auf
Docker) war nicht betroffen, da letzterer noch nicht "in Use".
Ich empfehle ebenfalls allen Admins mal ganz genau nachzuschauen ob
eventuell dumps (pcap) auf euren Servern liegen und in den Logs mal
schauen ob diese evtl. unstimmig sind und da Dinge fehlen. Desweiteren
könntet ihr nach Tools sehen wie dnsenum oder wpscanteam. Acht geben auf
kompilierte Bashscripte. Es ist davon auszugehen dass derjenige aus der
Reihe der Admins stammt, daher schadet ein wenig paranoya auch gegenüber
alteingesessenen Admins nicht. Es macht Sinn Ergebnisse und
Recherchetätigkeiten hier auf der Liste zu kommunizieren.
Delphin habe ich gestern gebeten auch mal bei euch nach solchen Files
suchen,wurde aber anscheinend zeitnah von Tim gesperrt. Ahja.
Johannes
Am 22.03.2015 um 12:39 schrieb delphiN:
> Ich hab keine Ahnung wie beim netmon momentan das Deployment
> funktioniert und auf was man da achten muss. Wer kann das übernehmen?
>
> Gruß,
> delphiN
>
>
> -------- Original-Nachricht --------
> Betreff: [Freifunk-OL-dev] Schwere Sicherheitlücke in Netmon
> Datum: Sun, 22 Mar 2015 10:19:06 +0100
> Von: Clemens John <clemens.john at floh1111.de>
> Antwort an: freifunk-ol-dev at lists.nord-west.net
> An: freifunk-ol-dev at lists.nord-west.net
>
> Hi,
>
> auf einen Hinweis hin habe ich die vergangenen Tage in Netmon eine
> schwere
> Sicherheitslücke in Zusammenhang mit der PHP-Funktion eval() behoben,
> die die
> Ausführung beliebigen Codes über URL-Parameter erlaubt.
>
> Die relevanten Commits dazu sind:
> https://git.nordwest.freifunk.net/ffnw/netmon/commit/f41e2253a8c19adea78b828223bdb51df5714363
> https://git.nordwest.freifunk.net/ffnw/netmon/commit/1d3bb40ea9fc3d9698b7a1c38b75b988553bbc3b
>
> Ein Update aller Netmon Installationen auf den aktuellen git master ist
> dringend empfohlen.
>
> Viele Grüße
> Clemens
>
>
>
>
>
Mehr Informationen über die Mailingliste franken-dev