Page 1 of 1
Schwachstelle im 'FCKeditor' erlaubt Kompromittierung des Webserveres
Posted: Tue Jul 07, 2009 3:22 pm
by andydu
Zur Info um 15:25 angekommen:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
######################################################################
CERT-Bund -- Warn- und Informationsdienst
######################################################################
KURZINFORMATION ZU SCHWACHSTELLEN UND SICHERHEITSLUECKEN
ID: CB-K09/0215
Titel: Schwachstelle im webbasierten HTML-Editor 'FCKeditor'
erlaubt Kompromittierung des Webservers
Datum: 07.07.2009
Software: FCKeditor
Version:
######################################################################
CVE-2009-2265
Der webbasierte HTML-Editor 'FCKeditor' weist eine Schwachstelle bei
der Verarbeitung des 'CurrentFolder'-Parameters auf. Die Ausnutzung
der Schwachstelle erlaubt einem entfernten Angreifer das Hochladen von
Dateien, z. B. Schadsoftware oder die Einrichtung von Remote-Shells.
Fuer die Ausnutzung der Schwachstelle ist Exploit-Code im Umlauf.
Die 'FCKeditor'-Entwickler haben die Schwachstelle in Version 2.6.4.1
geschlossen [2]. Der HTML-Editor kommt unter Umstaenden auch in 'Adobe
ColdFusion'-basierten Webseiten [5] und webbasierten
Content-Management- sowie Blog-Systemen zum Einsatz. Weitere
Informationen entnehmen Sie bitte folgenden Quellen:
[1]
[2]
[3]
[4]
[5]
Mit freundlichen Gruessen
das Team CERT-Bund
=================================================================
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat 121 -- CERT-Bund
Telefon +49-228-9582-5110 / FAX +49-228-9582-5427
/
=================================================================
=======================================================================
Hinweise zum Abmeldeverfahren dieser Mailingliste gibt es auf den
Seiten des CERT-Bund
Die Authentizitaet dieser Nachricht kann anhand der digitalen Signatur
ueberprueft werden. Die hierfuer zum Einsatz kommenden oeffentlichen
Schluessel sowie die Verfahren sind auf den Seiten des CERT-Bund
aufgefuehrt und erlaeutert.
HINWEIS:
Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI
zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden
oder Konsequenzen, die durch die direkte oder indirekte Nutzung der
Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen
Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert
und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.
=======================================================================
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2.2 (GNU/Linux)
iD8DBQFKU0xphXG+Kb8sMkQRAigrAJ0eks3d4Xow9Hhhx/6AczNohw7MfACgnutX
OxbsrmOheT8NPrL9tL5rs10=
=bHqb
-----END PGP SIGNATURE-----
Re: Schwachstelle im 'FCKeditor' erlaubt Kompromittierung des Webserveres
Posted: Tue Jul 07, 2009 4:52 pm
by cyberman
Besten Dank für die Info - ein weiterer Grund, auf den TinyMCE umzusteigen, zumal der Editor wohl derzeit nicht mehr aktiv weiterentwickelt wird ... die letzte Version ist vom April 2008.
andydu wrote:
Zur Info um 15:25 angekommen:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
######################################################################
CERT-Bund -- Warn- und Informationsdienst
######################################################################
KURZINFORMATION ZU SCHWACHSTELLEN UND SICHERHEITSLUECKEN
ID: CB-K09/0215
Titel: Schwachstelle im webbasierten HTML-Editor 'FCKeditor'
erlaubt Kompromittierung des Webservers
Datum: 07.07.2009
Software: FCKeditor
Version:
######################################################################
CVE-2009-2265
Der webbasierte HTML-Editor 'FCKeditor' weist eine Schwachstelle bei
der Verarbeitung des 'CurrentFolder'-Parameters auf. Die Ausnutzung
der Schwachstelle erlaubt einem entfernten Angreifer das Hochladen von
Dateien, z. B. Schadsoftware oder die Einrichtung von Remote-Shells.
Fuer die Ausnutzung der Schwachstelle ist Exploit-Code im Umlauf.
Die 'FCKeditor'-Entwickler haben die Schwachstelle in Version 2.6.4.1
geschlossen [2]. Der HTML-Editor kommt unter Umstaenden auch in 'Adobe
ColdFusion'-basierten Webseiten [5] und webbasierten
Content-Management- sowie Blog-Systemen zum Einsatz. Weitere
Informationen entnehmen Sie bitte folgenden Quellen:
[1]
[2]
[3]
[4]
[5]
Mit freundlichen Gruessen
das Team CERT-Bund
=================================================================
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat 121 -- CERT-Bund
Telefon +49-228-9582-5110 / FAX +49-228-9582-5427
/
=================================================================
=======================================================================
Hinweise zum Abmeldeverfahren dieser Mailingliste gibt es auf den
Seiten des CERT-Bund
Die Authentizitaet dieser Nachricht kann anhand der digitalen Signatur
ueberprueft werden. Die hierfuer zum Einsatz kommenden oeffentlichen
Schluessel sowie die Verfahren sind auf den Seiten des CERT-Bund
aufgefuehrt und erlaeutert.
HINWEIS:
Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI
zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden
oder Konsequenzen, die durch die direkte oder indirekte Nutzung der
Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen
Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert
und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.
=======================================================================
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2.2 (GNU/Linux)
iD8DBQFKU0xphXG+Kb8sMkQRAigrAJ0eks3d4Xow9Hhhx/6AczNohw7MfACgnutX
OxbsrmOheT8NPrL9tL5rs10=
=bHqb
-----END PGP SIGNATURE-----
Re: Schwachstelle im 'FCKeditor' erlaubt Kompromittierung des Webserveres
Posted: Wed Jul 08, 2009 8:53 pm
by Connie
FCKEditor ist und bleibt der beste OpenSource-Editor, nur leider nicht bei CMSMS :-[
selbst bei Joomla ist er besser aufgestellt, bei DRUPAL und wo auch immer
bei CMSimple haben wir innerhalb von einem halben Tag ein SecurityPatch
http://www.webdeerns.de/?FCKeditor4CMSimple herausgebracht, obwohl die aktuellen Schwachstellen bei unserer Integration gar nicht auftraten
aber hier bei CMSMS? Nichts, nichts. nichts...
Ich habe vor über einem Jahr den Entwicklern des Projekts "FCKEDITOR für CMSMS" eine lange Liste zusammengestellt, was geändert werden müsste, und was war das Ergebnis? Keiner hat was getan, aber mich haben sie in das Entwicklerteam aufgenommen...
jetzt soll ich also auch verantwortlich sein für die Schlamperei der hohen Herren!
Der Editor gehört zu den meistheruntergeladenen Modulen und könnte wirklich aktuell und ajour sein, aber das interessiert leider die Herren Entwickler nicht.
Auch dieser CALGUY, der sich immer so wichtig vorkommt, aber kein Gespür für Qualitätsmanagement hat, aber in jedem Projektteam dabei sein will...
ich hab die Nase so voll, ich finde es so schade, da wird ein so guter Editor trocken gelegt.. leider bin ich nicht stark genug, eine neue aktuelle Variante des FCKEditors für CMSimple hinzubekommen, aber ich finde es wirklich sehr sehr schade
das liegt mir auf der Seele und deshalb habe ich so emotional geantwortet.
Re: Schwachstelle im 'FCKeditor' erlaubt Kompromittierung des Webserveres
Posted: Thu Jul 09, 2009 12:58 pm
by cyberman
Connie wrote:
FCKEditor ist und bleibt der beste OpenSource-Editor, nur leider nicht bei CMSMS :-[
Für dich vielleicht - für andere nicht.
TinyMCE war bis zur Version 0.10 der mitgelieferte Editor. Von der 0.11 bis zur 0.13 wurde der FCK mitgeliefert. Aufgrund einer Abstimmung wurde dann der TinyMCE wieder der Standard
http://forum.cmsmadesimple.org/index.ph ... 385.0.html
aber hier bei CMSMS? Nichts, nichts. nichts...
Bis zur 0.10 hat Ted den Editor-Part betreut. Dann hat sich ein User namens Megabob3 gefunden, der sich mit dem FCK auskannte und hat ein Modul dafür geschrieben. An dieser Stelle hat Ted den Editor-Part von CMSms an Megabob angegeben und konnte sich anderen Dingen zuwenden. Nur ist von megabob seit langem nix mehr zu lesen ...
jetzt soll ich also auch verantwortlich sein für die Schlamperei der hohen Herren!
Mein Kommentar war zu keinem Zeitpunkt ein Angriff oder Vorwurf gegen irgend einen der im Projekt eingetragenen Entwickler!!!
Auch dieser CALGUY, der sich immer so wichtig vorkommt, aber kein Gespür für Qualitätsmanagement hat, aber in jedem Projektteam dabei sein will...
Na nu mal halblang - er WILL nicht in jedem Projektteam dabei sein. Vielmehr ist es so, dass ein Programmierer ein Modul erstellt und es eine ganze Weile betreut und verbessert. Und irgendwann ist aber Schluß - es ändert sich etwas im Leben der Programmierer und das Modul wird unwichtig (siehe megabob). Jedoch ist dieses Module beliebt und im Forum kommen immer wieder Fragen und Probleme, so dass sich das Dev-Team (meist Robert (Calguy) und Morten) häufig gemüßigt fühlen, sich der Thematik anzunehmen, um das gröbste gerade zu rücken.
Wie ich jedoch gesehen hab, hat sich Robert aus einer ganze Menge Projekte zurückgezogen (hat auch so genug zu tun). Und letzten Endes sind eine ganze Menge Programmierer Individualisten, wie sie im Buche stehen - wenn ich nur mal ins Forge schaue, wie viele Module es zum Thema Download gibt
. Anstatt an einem Strang zu ziehen und die Entwicklung eines Moduls voran zu treiben, wird lieber etwas eigenes gemacht.
Ich kann dich durchaus verstehen. Das Problem ist, dass die (programmierunkundige) Userbasis von CMSms seit Jahren schneller wächst als die Bereitschaft der (neu zu CMSms hinzugekommenen) Entwickler, ein Projekt zu übernehmen und kontinuierlich zu betreuen.
Re: Schwachstelle im 'FCKeditor' erlaubt Kompromittierung des Webserveres
Posted: Thu Jul 09, 2009 6:42 pm
by Connie
Ich kann dich durchaus verstehen. Das Problem ist, dass die (programmierunkundige) Userbasis von CMSms seit Jahren schneller wächst als die Bereitschaft der (neu zu CMSms hinzugekommenen) Entwickler, ein Projekt zu übernehmen und kontinuierlich zu betreuen.
da liegt der Hase begraben.... ich finde es wirklich schade.
Ich habe ja schon ein paarmal das Qualitätsmanagement bemängelt, was ich wirklich schade finde.
Wenn ich mich nicht mehr mit einem Projekt beschäftige, dann sollte ich mich doch noch wenigstens aus dem Projekt verabschieden.
Auf meinen Mahnbrief letztes Jahr an alle aufgeführten Entwickler bekam ich "hast ja recht" als Antwort (nicht von allen) und nichts ist passiertl Leider ist der Editor so gegen alle Regeln in CMSMS eingeknüpft, dass da wirklich aufgeräumt werden müsste (und das kann ich nun mal nicht)
Ich denke, es sollte ein Kennzeichen "verwaistes Modul" geben....
Hab einen guten Abend,
Connie
Re: Schwachstelle im 'FCKeditor' erlaubt Kompromittierung des Webserveres
Posted: Thu Jul 09, 2009 7:52 pm
by cyberman
Connie wrote:
da liegt der Hase begraben.... ich finde es wirklich schade.
Wohl war - aber es ist Open Source, da kannst du niemanden zwingen.
Und die Spendenbereitschaft ist auch nicht sonderlich hoch. Eine Option wäre jedoch, eine Prämie auszusetzen. Es könnten ja auch mehrere interessierte Anwender zusammen legen.
Ich habe ja schon ein paarmal das Qualitätsmanagement bemängelt, was ich wirklich schade finde.
Auch hier gilt das, was ich bereits zu den Entwicklern sagte
.
Es gab vor längerem mal ein Qualitätssicherungsteam (Westis/Patricia). Westis treibt sich lieber in seiner Wahlheimat Kenia rum und Patricia hat geheiratet und ein Kind bekommen - und das wars dann auch schon. Nachfolger? Nothing!
Wenn ich mich nicht mehr mit einem Projekt beschäftige, dann sollte ich mich doch noch wenigstens aus dem Projekt verabschieden.
Würde ich mir auch wünschen - ist wohl aber eine typisch deutsche Denkweise
.
Und in dem neuen Forge isses auch gar nicht mehr so einfach zu gehen. Bei dem alten konntest du dich mir nix dir nix selbst aus dem Projekt löschen.
Leider ist der Editor so gegen alle Regeln in CMSMS eingeknüpft, dass da wirklich aufgeräumt werden müsste
Na irgend etwas scheinst du ja zu wissen
. Wie kämst du sonst zu dieser Einschätzung?
Ich denke, es sollte ein Kennzeichen "verwaistes Modul" geben....
Hmm, mal sehen, was da geht - werd das Thema mal ansprechen (auch auf die Gefahr hin, mir noch mehr Arbeit aufzuhalsen).
Re: Schwachstelle im 'FCKeditor' erlaubt Kompromittierung des Webserveres
Posted: Thu Jul 09, 2009 8:03 pm
by Connie
Zitat
Leider ist der Editor so gegen alle Regeln in CMSMS eingeknüpft, dass da wirklich aufgeräumt werden müsste
Na irgend etwas scheinst du ja zu wissen Cool. Wie kämst du sonst zu dieser Einschätzung?
Nun, ich kenne den Editor gut und habe eine Integration in CMSIMPLE mitgebaut und betreue es mit.
Aber für CMSMS kann ich nur sagen, daß es falsch zusammengestellt ist, überflüssiges dabei und unnützes,
wichtige Einstellungen nicht getroffen und die "CMSMS Konfiguration" nicht eindeutig eingebunden, dass man den Editor einfach bei neuen Versionen überschreiben kann und die Einstellungen behält
da ich aber deren Einknüpfung einfach nicht kapiere, kann ich da nicht selbst Hand anlegen, leider
auf Sicherheitslücken hab ich die Herren Entwickler auch aufmerksam gemacht und dass man vieles besser absicher kann, aberr das hat wohl niemanden interessiert
wie gesagt, ich habe FCKEditor-Wissen aber noch zu wenig Moduwissen ....
hals du dir auch nicht zuviel auf, man übernimmt sich leicht, ich kenne das
Re: Schwachstelle im 'FCKeditor' erlaubt Kompromittierung des Webserveres
Posted: Thu Jul 09, 2009 9:20 pm
by cyberman
Wo is'n die von dir erwähnte "lange" Liste eigentlich? Im Projekt? Im Forum hab ich nur 3 kürzere Beiträge von dir zum FCK gefunden ...
Hast du mal versucht, den FCK (also das aktualisierte Javascript) drüber zu bügeln (wegen der Security-Meldung)?
Re: Schwachstelle im 'FCKeditor' erlaubt Kompromittierung des Webserveres
Posted: Fri Jul 10, 2009 1:27 am
by mike-r
Hi Connie, ich muss Dir mal generell zustimmen, dass [hier] auf administrativer Seite leider nicht allzuviel Zeuch gestemmt wird, dass Dir aber gerade als Beispiel der FCK-Editor einfällt, hier Wind zu machen, der - ääh - ach ich sag besser nix.
Ich (und ich glaub ich bin da nicht ganz allein) hab in der Diskussion noch nicht ganz gerafft, wo Dein Problem ist, was bietet dieser - ääh - FCK-Editor denn so an Mehrwert im Vergleich zu durchdachten Editoren?
Maximale Exploitbarkeit? Maximale Unübersichtlichkeit? Dass man da als User UND als Programmierer reinschaut, wie's Schwein ins Uhrwerk?
Raff ich echt nicht.
Re: Schwachstelle im 'FCKeditor' erlaubt Kompromittierung des Webserveres
Posted: Fri Jul 10, 2009 8:41 am
by Connie
@Cyberman:
die Liste hab ich damals per Message direkt an die Entwickler gesandt,da niemand auf meine Postings geantwortet hat
@mike-r:
das magst du so sehen. Ich finde deine Meinung etwas polemisch ;=)
Der Editor ist nicht unübersichtlich, erlaubt sehr gut die Integration von Styles etc.
Das Unübersichtliche rührt daher, dass die "integratoren" meistens nicht verstehen, wie sie mit einer "Custum Configuration" alle Einstellungen treffen können und nicht mal hier mal da etwas konfigurieren
Auch die Exploitbarkeit, wie du es nennst, ist vollkommen transparent zu verhindern, aber wird leider nicht getan...
über Plugins ist wunderbar das Einbinden von Mediendateien und auch der Upload dieser Dateien zu regeln.
(Ja, da liegt die Wunde: die schwache Integration in die Anwendungen, z.B. den Upload nicht durch Cookies absichern etc., brachte die zuletzt deutlich gewordene Sicherheits lücke in die Öffentlichkeit)
Die Dialoge beim Linksetzen, Bilder einbinden etc. sind wesentlich klarer und flexibler als bei anderen Editoren
Ich habe lange Erfahrung mit Anwendern, wie sie mit Editoren umgehen und 80% haben den FCKEditor gewählt wenn sie die Wahl hatten, in den unterschiedlichsten Anwendungen!
Fazit: Die Schwachstellen dieses Editors liegen in der Integration in die Anwendung ... meiner Meinung nach
Re: Schwachstelle im 'FCKeditor' erlaubt Kompromittierung des Webserveres
Posted: Tue Jul 14, 2009 11:10 am
by cyberman
Connie wrote:
Das Unübersichtliche rührt daher, dass die "integratoren" meistens nicht verstehen, wie sie mit einer "Custum Configuration" alle Einstellungen treffen können und nicht mal hier mal da etwas konfigurieren
Wenn das die "Integratoren"
meistens nicht verstehen, scheint es also des öfteren zu passieren, nicht nur bei CMS made simple.
Das wiederum heißt für mich, dass die Integration in andere Applikationen entweder schlecht beschrieben ist oder es ist so kompliziert/komplex, dass es schwer zu verstehen und nur von absoluten Insidern zu beherrschen ist.
Re: Schwachstelle im 'FCKeditor' erlaubt Kompromittierung des Webserveres
Posted: Wed Jul 15, 2009 8:16 am
by Connie
cyberman wrote:
Wenn das die "Integratoren" meistens nicht verstehen, scheint es also des öfteren zu passieren, nicht nur bei CMS made simple.
Das wiederum heißt für mich, dass die Integration in andere Applikationen entweder schlecht beschrieben ist oder es ist so kompliziert/komplex, dass es schwer zu verstehen und nur von absoluten Insidern zu beherrschen ist.
Hallo Andy,
nein so habe ich das nicht gemeint
Aber ich habe die Integration in mehreren Systemen betrachtet, in kleinen Newsletter-Systemen, CMSen, und auch sonst wo Online-Editoren genutzt werden und meistens ist da nur bis "ach es passt schon" gearbeitet worden
so werden auch die Module für PERL, ASP etc. hochgeladen, obwohl es eine PHP-ANwendung ist, die Konfiguration wird nicht in separaten Konifgurationsdateien umgesetzt sondern im Hauptmodul, sodaß es kein Update übersteht / bzw. ein einfaches Update des Editors ohne Überschreiben der Konfiguration nicht möglich ist
für mich liegt es an der Trägheit, Manuals zu studieren und dem Genuß schneller Ergebnisse, jeder ist ein Küntsler .....
das ist die Crux