Uralte Sicherheitslücken im PHP File Manager

RevivedwirePHPFileManagerDas Programm PHP File Manager kostet nur 5 Dollar. Man installiert es auf seinem Internetserver und kann danach Dateien zwischen seinem PC und dem Server einfach mit dem Browser austauschen.

Weil es so bequem ist, nutzen auch viele große Unternehmen das Tool: Eneco, Nintendo, Danone, Nestle, Loreal, EON, Siemens, Vattenfall, Oracle, Oxford, Hilton, T-Mobile, CBS, UPC und 3M (und vermutlich noch viele andere), von deren Internetservern jedermann seitdem vertrauliche Dateien ohne Probleme herunterladen kann.

Denn in dem PHP-Skript PHP File Manager schlummern offenbar seit mindestens fünf Jahren kritische Sicherheitslücken, die der Hersteller kennt, aber nicht schließt. Darauf macht Security-Berater Sijmen Ruwhof in seinem Blog aufmerksam. So soll es durch zwei Lücken möglich sein, durch das Skript ohne Authentifizierung Code auf den Server zu laden und potenziell auszuführen.

RevivedwirePHPFileManagerLoginDas Schärfste daran ist aber ein Superuser mit der sinnigen Bezeichnung  ****__DO_NOT_REMOVE_THIS_ENTRY__****,  der in allen Installationen das gleiche Passwort nutzt. Und das ist gleich als MD5-Hash im Script angegeben – kein Problem für den versierten Informatiker oder Hacker.

Der Hersteller Revivedwire hat das Programm inzwischen auf verschämte Art und Weise auf seinem Vertriebsserver gesperrt. Man liest dort ein unverfängliches „Wir konnten die aufgerufene Seite leider nicht finden, bitte überprüfen Sie die URL (ACTUALLY, WE COULDN’T FIND THE PAGE YOU REQUESTED. PLEASE CHECK THE URL.)“.

Ein Hinweis auf die Sicherheitslücken wäre nicht nur ehrlicher, sondern auch hilfreicher für die Kunden, die immerhin Geld für das Programm bezahlt haben – auch wenn es nur 5 Dollar waren!

Über Klaus

Ich beschäftige mich seit mehr als 30 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der „Brave New World“ oder des „Neulands“.

Dieser Beitrag wurde unter Browser, Internet, Kommentar, News, Programmierung, Sicherheit, Tipps und Tricks, Wirtschaft abgelegt und mit , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Kommentare zu Uralte Sicherheitslücken im PHP File Manager

  1. Pingback: In the media | Weblog | Sijmen Ruwhof

  2. Pingback: Full disclosure: multiple critical security vulnerabilities (including a backdoor!) in PHP File Manager | Weblog | Sijmen Ruwhof

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.