Admin-Oberfläche Froxlor verrät Datenbank-Passwörter

**Southpark** · 30.07.2015, 16:07

Das Server-Management-Panel Froxlor ist verwundbar und Angreifer können unter Umständen das Datenbank-Passwort aus der Ferne auslesen. Eine gefixte Version ist aber noch nicht für alle Linux-Distributionen verfügbar.

Über eine Sicherheitslücke im Server-Management-Panel Froxlor bis Version 0.9.33.1 können Angreifer das Datenbank-Passwort abgreifen. Davor warnt ein Administrator im offiziellen Forum. Die abgedichtete Version 0.9.33.2 steht zum Download bereit. Reparierte Debian-Pakete sollen folgen.

Debian-Nutzer können ihre System über den Eintrag Alias /froxlor/logs /dev/null in der Apache-Konfiguration und einem anschließenden Neustart temporär absichern. Dem Anbieter zufolge geschieht dies aber auf eigene Gefahr. Ist das Update verfügbar und haben Admins es eingespielt, soll man den Eintrag wieder entfernen.

Das MySQL-Passwort nebst Benutzernamen findet sich in der Standardkonfiguration von Froxlor in einer Plain-Text-Datei in dem öffentlich zugänglichen Ordner /logs/sql-error.log. Passwörter sollen aber nur bis maximal 15 Zeichen für Angreifer einsehbar sein.

Q: http://www.heise.de/security/meldung...r-2765508.html
Beispiele:
https://teachfirst.de/logs/sql-error.log
https://www.esolutions.de/logs/sql-error.log

**Zweitopf** · 30.07.2015, 17:13

Bei Google finden sich sage und schreibe 6 Ergebnisse. Davon sind 2 Doppelergebnisse, und eins hat kein Froxlor installiert.

~Mfg

Mantrayana

**c000005** · 02.08.2015, 04:12

Hat das Teil ein Autoupdate? Meine Froxlor Instanz (aufgesetzt am 20.07) hat bereits die 0.9.33.2-1+wheezy0-nc Version - ohne das ich ein Update durchgeführt habe.

**\[T]/** · 03.08.2015, 09:58

Bei Google finden sich sage und schreibe 6 Ergebnisse. Davon sind 2 Doppelergebnisse, und eins hat kein Froxlor installiert.

Weil so ziemlich jeder Hoster dieses geniale Stueck Software verbietet, weil es so dermassen schlecht, unsauber und unsicher programmiert ist.

**Jut4h.tm** · 03.08.2015, 10:11

also netcup.de installiert das standardmäßig auf jedem Root und VPS, da hosten sehr viele ihre Server. Das beste ist, dass man Rabatt bekommt wenn jemand auf deinen netcup.de Banner klickt und dadurch ein Vertrag zu stande kommt (Ref-System). Also kann man einfach ein Google dork dafür zaubern. viel Spaß beim Defacen und Co.

**\[T]/** · 05.08.2015, 07:16

Tatsache. Das schmerzt irgendwie.

**Jut4h.tm** · 05.08.2015, 13:20

Ich nutze den Hoster schon jahrelang aber hab das immer direkt gelöscht

Thema: Admin-Oberfläche Froxlor verrät Datenbank-Passwörter

Themen-Optionen

Anzeige

Admin-Oberfläche Froxlor verrät Datenbank-Passwörter

AW: Admin-Oberfläche Froxlor verrät Datenbank-Passwörter

AW: Admin-Oberfläche Froxlor verrät Datenbank-Passwörter

AW: Admin-Oberfläche Froxlor verrät Datenbank-Passwörter

AW: Admin-Oberfläche Froxlor verrät Datenbank-Passwörter

AW: Admin-Oberfläche Froxlor verrät Datenbank-Passwörter

AW: Admin-Oberfläche Froxlor verrät Datenbank-Passwörter

Ähnliche Themen

Passwörter

Berechtigungen