Hallo Thilo, das hast Du falsch verstanden. In der Meldung geht es um eine Lücke in dem PHP-Script, welches Microsoft auf den Seiten für ihr DSL-Angebot einsetzt, wobei ich mich schon schwer wundere, warum MS überhaupt PHP und nicht ASP nutzt.
Die Lücke ist eine sogenannte Cross-Site-Scripting Lücke und beruht auf nicht überprüften Parametern, die ein User an den Server übermitteln kann, ein absoluter Anfängerfehler, eventuell haben sie die Putzfrau programmieren lassen. Diese Lücke betrifft einzig und allein den Server, auf dem dieses Script läuft und wurde durch zu lasche Dateiberechtigungen auf dem Server begünstigt, denn selbst wenn man konkrete Pfade zu Systemdateien angeben kann, so dürfte der Serverprozess gar keine Leserechte für diese Dateien besitzen, ist ein Problem, das Windowsinstallationen bei Standardinstallation schon lange haben.
Die Lücke funktioniert im Folgenden ungefähr so:
Um Frames zu vermeiden wird innerhalb einer Portalseite je nach angeklicktem Link entsprechend anderer Inhalt eingebunden. Ein Link sieht dann ungefähr so aus:
irgendwas" target="_blank" rel="nofollow">http://example.com/index.php?page=irgendwas">irgendwas
In der index.php steht dann an der entsprechenden Stelle z.B. so etwas:
include($page);
ohne Überprüfung, was $page eigentlich enthält und ob dazu Rechte vorhanden sind. Ein User kann sich dann natürlich selbst bestimmte URLs bauen, z.B.:
index.php?page=/etc/httpd/httpd.conf
und er sieht die Konfigurationsdatei des Apacheservers, dort steht dann oft auch der Pfad zu einer eventuell vorhandenen .htpasswd, die sich auf gleichem Wege auslesen lässt und mit entsprechenden Programmen knacken, wodurch jeglicher Zugangsschutz über HTTP-Authentifizierung ausgehebelt wäre.
In Insiderkreisen nennt an so ein konstrukt auch Webbased Rootkit ;o)
Die Rechner von DSL-Kunden waren davon aber nicht betroffen, es wäre höchstens unter bestimmten Konfigurationen möglich gewesen, daß interne Kundendaten über diese Lücke auslesbar waren.
xafford
Tilo Nachdenklich
