Southpark
30.07.2015, 16:07
Das Server-Management-Panel Froxlor ist verwundbar und Angreifer können unter Umständen das Datenbank-Passwort aus der Ferne auslesen. Eine gefixte Version ist aber noch nicht für alle Linux-Distributionen verfügbar.
Über eine Sicherheitslücke im Server-Management-Panel Froxlor bis Version 0.9.33.1 können Angreifer das Datenbank-Passwort abgreifen. Davor warnt ein Administrator im offiziellen Forum (https://forum.froxlor.org/index.php/topic/13054-important-bugfix-release-09332/). Die abgedichtete Version 0.9.33.2 steht zum Download bereit (https://www.froxlor.org/). Reparierte Debian-Pakete sollen folgen.
Debian-Nutzer können ihre System über den Eintrag Alias /froxlor/logs /dev/null in der Apache-Konfiguration und einem anschließenden Neustart temporär absichern. Dem Anbieter zufolge geschieht dies aber auf eigene Gefahr. Ist das Update verfügbar und haben Admins es eingespielt, soll man den Eintrag wieder entfernen.
Das MySQL-Passwort nebst Benutzernamen findet sich in der Standardkonfiguration von Froxlor in einer Plain-Text-Datei in dem öffentlich zugänglichen Ordner /logs/sql-error.log. Passwörter sollen aber nur bis maximal 15 Zeichen für Angreifer einsehbar sein.
Q: http://www.heise.de/security/meldung/Admin-Oberflaeche-Froxlor-verraet-Datenbank-Passwoerter-2765508.html
Beispiele:
https://teachfirst.de/logs/sql-error.log
https://www.esolutions.de/logs/sql-error.log
Über eine Sicherheitslücke im Server-Management-Panel Froxlor bis Version 0.9.33.1 können Angreifer das Datenbank-Passwort abgreifen. Davor warnt ein Administrator im offiziellen Forum (https://forum.froxlor.org/index.php/topic/13054-important-bugfix-release-09332/). Die abgedichtete Version 0.9.33.2 steht zum Download bereit (https://www.froxlor.org/). Reparierte Debian-Pakete sollen folgen.
Debian-Nutzer können ihre System über den Eintrag Alias /froxlor/logs /dev/null in der Apache-Konfiguration und einem anschließenden Neustart temporär absichern. Dem Anbieter zufolge geschieht dies aber auf eigene Gefahr. Ist das Update verfügbar und haben Admins es eingespielt, soll man den Eintrag wieder entfernen.
Das MySQL-Passwort nebst Benutzernamen findet sich in der Standardkonfiguration von Froxlor in einer Plain-Text-Datei in dem öffentlich zugänglichen Ordner /logs/sql-error.log. Passwörter sollen aber nur bis maximal 15 Zeichen für Angreifer einsehbar sein.
Q: http://www.heise.de/security/meldung/Admin-Oberflaeche-Froxlor-verraet-Datenbank-Passwoerter-2765508.html
Beispiele:
https://teachfirst.de/logs/sql-error.log
https://www.esolutions.de/logs/sql-error.log