Rechteausweitung in XAMPP

Jann Hendrik · 08.05.2006, 15:34

Rechteausweitung in XAMPP
heise.de berichtet

... von einer Sicherheitslücke, die die Ausführung von XAMPP betrifft.
Demnach läßt sich bei der Installation durch fehlenden Anführungszeichen auch Schadcode ausführen. Die genaue Erklärung steht dort auf der Seite.

Als Alternative empfiehlt sich XAMPP in ein Verzeichnis zu installieren, welches keine (!) Leerzeichen im Pfad aufweist.

Und hier nochmal der Hinweis. XAMPP ist nicht für Produktivsystem gemacht worden!

Lars · 08.05.2006, 15:37

Finde die Meldung bei heise.de absolut lächerlich.

robo47 · 08.05.2006, 15:55

Zitat:

Zitat von Lars

Finde die Meldung bei heise.de absolut lächerlich.

du vergisst die anzahl der windows-root-server-nutzer die xampp einsetzen

Jann Hendrik · 08.05.2006, 15:59

ich denke, dass sich diese Art der Sicherheitslücke ebenso auch auf andere Programme übertragen läßt, wenn sie Dienste eingerichtet haben und den anderen Bedinungen entsprechen.

Lars · 08.05.2006, 16:11

Das ist imo keine Lücke in XAMPP, sondern eher in Windows.

Jann Hendrik · 08.05.2006, 18:06

das ist richtig, aber sie tritt zB hier auf.
somit sind XAMPP-user gewarnt, auch wenn die eigentliche Quelle eine andere ist.

Ben · 08.05.2006, 18:37

Zitat:

Zitat von Jann Hendrik

das ist richtig, aber sie tritt zB hier auf.
somit sind XAMPP-user gewarnt, auch wenn die eigentliche Quelle eine andere ist.

Ohne dir zu nahe treten zu wollen .. das klingt für mich für eine Rechtfertigung für den Thread.

*duck und wegrenn*

niklasboelter · 09.05.2006, 09:27

Es ist ganz klar ein Fehler von Xampp : Pfad Namen können Leerzeichen enthalten und gehören deshalb in Anführungszeichen.
Ich frag mich nur ob bei Windows ein nieder privilegierter User überhaupt auf das Root Laufwerk [man verzeihe mir die *nix ausdrücke] schreiben kann? Falls in C:// nur SYSTEM schreibrechte hat [Was ja wohl IMHO so seien sollte..] dann ist das ja keine wirkliche Lücke - jemand mit Windows ders mal ausprobieren will? ^^

Lars · 09.05.2006, 15:15

Wie sollen denn dann Programme ihre temporären Daten speichern? Office, Mail, Browser, das schreibt alles in die Temp-Ordner auf der Systempratition.

Außerdem sind für die Sache aus dem heise-Artikel eher die Ausführrechte relevant

niklasboelter · 09.05.2006, 15:57

Es geht um die Schreibrechte im verzeichnis C:// - was mit C://Temp los ist ist mir vollkommen egal und hier nebensächlich.

Und bei dem Sicherheitsproblem geht es auch nicht um die Ausführungsrechte sondern eben um die Schreibrechte im Verzeichnis C:// - oder wie sollst soll man eine Datei namens C://program[.exe|.bat|.com|.cmd] erstellen? mit Ausführungsrechten sicher _NICHT_

Vieleicht wolltest du nur auf meinen Falsch gewählten Begriff "Root Laufwerk" anspielen, ich meinte das Root Directory auf dem Systemlaufwerk - ich entschuldige mich für diesen Fehler.

Lars · 09.05.2006, 16:07

Zitat:

Durch das Leerzeichen in dem Pfad und dem Fehlen von Anführungszeichen beim Aufruf der Programme kann jedoch eine Datei mit dem Namen C:\program.exe – auch die Endungen .bat, .cmd sowie .com funktionieren – ausgeführt werden

Die Rede ist doch nur von Ausführen. Erstellen muss man die Datei schon selber.

08.05.2006, 15:34	Nach oben #1
Jann Hendrik Jann Hendrik Bekaan Registriert seit: 02.12.2004 Ort: Wildeshausen Beiträge: 2.215	Rechteausweitung in XAMPP Rechteausweitung in XAMPP heise.de berichtet ... von einer Sicherheitslücke, die die Ausführung von XAMPP betrifft. Demnach läßt sich bei der Installation durch fehlenden Anführungszeichen auch Schadcode ausführen. Die genaue Erklärung steht dort auf der Seite. Als Alternative empfiehlt sich XAMPP in ein Verzeichnis zu installieren, welches keine (!) Leerzeichen im Pfad aufweist. Und hier nochmal der Hinweis. XAMPP ist nicht für Produktivsystem gemacht worden!

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen	Thema durchsuchen: Erweiterte Suche

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
apachefriends warnt vor einer Sicherheitslücke bei XAMPP	Jann Hendrik	Nachrichten	0	29.04.2007 14:21
trac auf Windows zum Laufen bringen, XAMPP 1.5.2	Ben	Tools, Server, Betriebssysteme	5	29.10.2006 23:57
MySQL bei xampp wie füge ich einen benutzer hinzu...	kampfgnom	Datenbanken	12	15.10.2006 15:11
XAMPP 1.5.0 erschienen	Ben	Nachrichten	3	09.01.2006 07:28
Testumgebung Xampp und Flash	El Barto	Tools, Server, Betriebssysteme	9	14.11.2005 21:29

08.05.2006, 15:37	Nach oben #2
Lars me pro ok? Registriert seit: 07.09.2005 Ort: Pulheim bei Köln Beiträge: 964	Finde die Meldung bei heise.de absolut lächerlich.

08.05.2006, 15:59	Nach oben #4
Jann Hendrik Jann Hendrik Bekaan Registriert seit: 02.12.2004 Ort: Wildeshausen Beiträge: 2.215	ich denke, dass sich diese Art der Sicherheitslücke ebenso auch auf andere Programme übertragen läßt, wenn sie Dienste eingerichtet haben und den anderen Bedinungen entsprechen.

08.05.2006, 16:11	Nach oben #5
Lars me pro ok? Registriert seit: 07.09.2005 Ort: Pulheim bei Köln Beiträge: 964	Das ist imo keine Lücke in XAMPP, sondern eher in Windows.

08.05.2006, 18:06	Nach oben #6
Jann Hendrik Jann Hendrik Bekaan Registriert seit: 02.12.2004 Ort: Wildeshausen Beiträge: 2.215	das ist richtig, aber sie tritt zB hier auf. somit sind XAMPP-user gewarnt, auch wenn die eigentliche Quelle eine andere ist.

09.05.2006, 09:27	Nach oben #8
niklasboelter Benutzer Registriert seit: 22.01.2006 Beiträge: 31	Es ist ganz klar ein Fehler von Xampp : Pfad Namen können Leerzeichen enthalten und gehören deshalb in Anführungszeichen. Ich frag mich nur ob bei Windows ein nieder privilegierter User überhaupt auf das Root Laufwerk [man verzeihe mir die *nix ausdrücke] schreiben kann? Falls in C:// nur SYSTEM schreibrechte hat [Was ja wohl IMHO so seien sollte..] dann ist das ja keine wirkliche Lücke - jemand mit Windows ders mal ausprobieren will? ^^

09.05.2006, 15:15	Nach oben #9
Lars me pro ok? Registriert seit: 07.09.2005 Ort: Pulheim bei Köln Beiträge: 964	Wie sollen denn dann Programme ihre temporären Daten speichern? Office, Mail, Browser, das schreibt alles in die Temp-Ordner auf der Systempratition. Außerdem sind für die Sache aus dem heise-Artikel eher die Ausführrechte relevant

09.05.2006, 15:57	Nach oben #10
niklasboelter Benutzer Registriert seit: 22.01.2006 Beiträge: 31	Es geht um die Schreibrechte im verzeichnis C:// - was mit C://Temp los ist ist mir vollkommen egal und hier nebensächlich. Und bei dem Sicherheitsproblem geht es auch nicht um die Ausführungsrechte sondern eben um die Schreibrechte im Verzeichnis C:// - oder wie sollst soll man eine Datei namens C://program[.exe\|.bat\|.com\|.cmd] erstellen? mit Ausführungsrechten sicher _NICHT_ Vieleicht wolltest du nur auf meinen Falsch gewählten Begriff "Root Laufwerk" anspielen, ich meinte das Root Directory auf dem Systemlaufwerk - ich entschuldige mich für diesen Fehler.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)