Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1480

[Generic/TWiki] Schwachstelle im Kollaborationswerkzeug TWiki
(2008-09-15 09:52:04.109833+00)

Quelle: http://www.kb.cert.org/vuls/id/362012

Eine Schwachstelle im populären Kollaborationswerkzeug TWiki kann von einem Angreifer durch das Senden entsprechend präparierter URLs dazu ausgenutzt werden, Dateien des beherbergenden Systems auszulesen.

Inhalt

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor

Angriffsvoraussetzung

Angriffsvektorklasse

Auswirkung

Typ der Verwundbarkeit

Gefahrenpotential


(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext

TWiki ist ein stark verbreitetes Kollaborationswerkzeug, das das gemeinsame Bearbeiten von Webseiten, z.B. zur Dokumentation eines Projektes über eine Webschnittstelle ermöglicht. Es verwendet hierfür üblicherweise das Webserver-System apache.

Beschreibung

Eine Schwachstelle in TWiki kann von einem Angreifer mittels des bloßen Zugriffs über die Webschnittstelle dazu ausgenutzt werden, unautorisiert Dateien auf dem beherbergenden Rechnersystem auszulesen.

Das Konfigurationsskript twiki/bin/configure kann auch nach der initialen Konfiguration dazu missbraucht werden, beliebige Dateien des beherbergenden Rechnersystems mit den Privilegien des Webservers zu lesen. Üblicherweise sind dies im Falle von apache die Privilegien des Benutzers www-data.

Workaround

Als Maßnahme zur Abmilderung des Problems kann der Zugriff auf das Konfigurationsskript twiki/bin/configure mittels der Schutzmechanismen des beherbergenden Webservers eingeschränkt werden. Im Falle von apache kann dies durch die Erzwingung einer Passwort-gestützten Authentifizierung durch genau definierte Benutzer mittels des .htaccess-Mechanismus und einer entsprechenden Konfiguration des Webservers geschehen.

Für TWiki-Versionen vor 4.2.0 stellt dies die einzige Maßnahme zur Verhinderung der Ausnutzung der Schwachstelle dar.

Gegenmaßnahmen

Vulnerability ID

Exploit Status

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1480