Allgemein Open Source Software

Sicherheitslücke im Imperia CMS der pirobase imperia gmbh

In den Wahlkampf Wochen habe ich die ein oder andere Politiker Seite besucht, darunter auch die Seite von Matthias Groote (Mitglied des Europäischen Parlaments), der in meinem Landkreis für den Landrat kandierte. Allgemein wollte ich wissen ob die Seite Onpage optimiert ist. Dazu habe ich meine Chrome Extension zur Anzeige der robots.txt verwendet. Rein interessehalber.

Warning: Cannot modify header information – headers already sent by (output started at /home/www/htdocs/lv09/bzwe/kvleer/mgroote/_admin/_config.php:177) in /home/www/htdocs/_shared/_inc/whoami.inc on line 154

Erhalten habe ich nicht den gedachten Inhalt, sondern eine PHP Fehlermeldung. Die Meldung sieht nach einem typischen Anfängerfehler aus. Vor PHP Funktionen wie header(), session_start() und andere setzt man keine Ausgabe. Und wenn es zu Fehlermeldungen kommen kann, fängt man diese sowie so ab. Nun gut, das ist auch ein anderes Thema. Hoffentlich ist es ein Einzelfall. Doch auch auf den anderen Kundenseiten der pirobase imperia GmbH kommt es zu den besagten Fehlermeldungen. Diese Meldung erscheint immer, wenn eine nicht existierende Seite aufgerufen wird. So ist auch die Seite von Stephan Weil (www.stephanweil.de) und Doris Schröder-Köpf (www.schroeder-koepf.de) betroffen. Hier kommt wie bei groote.eu die PHP Fehlermeldung „Warning: Cannot modify header information – headers already sent by (output started at /home/www/htdocs/lv09/bzha/ubregha/weilste/_admin/_config.php:170) in /home/www/htdocs/_shared/_inc/whoami.inc on line 154„.

Open Soure oder ein Information Disclosure?!

Beim genauen Hinblick auf die Meldung lässt sich schon erkennen welche Datei betroffen ist. Hier ist es die „/_shared/_inc/whoami.inc“ Datei. Richtig krass wird es jetzt, weil die Datei ohne Probleme aufgerufen werden kann: http://www.matthias-groote.de/_shared/_inc/apps/validate.inc oder http://www.stephanweil.de/_shared/_inc/whoami.inc

whoami.inc

Sucht man sich jetzt die Kundenseiten über Google heraus (www.google.de/webhp?hl=de&q=“Internetseiten+mit+dem+Web+Content+Management+System+Imperia“), so erhält man rund 500 Webseiten. Mit ein bisschen Mühe lassen sich bestimmt noch weitere Quelloffene Dateien finden. Es sollte reichen bekannte Datei- oder Funktionsnamen durchzugehen. Weitere betroffenen Dateien:

  • http://www.stephanweil.de/_shared/_inc/apps/validate.inc
  • http://www.matthias-groote.de/_shared/_inc/header.inc
  • http://www.matthias-groote.de/_shared/_inc/trackback.inc
  • http://www.matthias-groote.de/_shared/_inc/head.inc
  • http://www.matthias-groote.de/_shared/_inc/footer.inc
  • http://www.matthias-groote.de/_shared/_inc/apps/kontakt.inc
  • http://www.matthias-groote.de/_shared/_inc/apps/newsletter.inc
  • http://www.matthias-groote.de/_shared/_inc/apps/comments.inc
  • http://www.matthias-groote.de/_shared/_inc/apps/rss.inc
  • http://www.matthias-groote.de/_shared/_inc/recaptcha_form.inc
  • http://www.matthias-groote.de/_shared/_inc/apps/registration.inc
  • http://www.matthias-groote.de/_shared/_inc/meta_content.inc

Information Disclosure Melden?

Ihr fragt euch sicherlich warum ich jetzt so öffentlich über das Information Disclosure schreibe und die Sache öffentlich mache? Nun ja, vor ca. zwei Monaten habe ich die pirobase imperia gmbh per E-Mail bereits darüber informiert. Reaktion: Keine! Am 12. September 2016 habe ich dann einen zusätzlichen Tweet abgesetzt. Es kann ja gut sein, dass das Unternehmen nicht mehr mit E-Mails arbeitet. Reaktion: Fehlanzeige! Noch nicht mal Herr Groote hat darauf reagiert, obwohl er im Social Media Bereich sehr aktiv ist. Schade eigentlich, denn sonst müsste ich nun nicht darüber schreiben..

Was nun?

Das ist eine gute Frage. Als Nächstes werde ich Heiko Frenzel fragen. Ihm hatte ich damals über die sFTP-Plugin Unsicherheit informiert. Bei Heise Security kann ich mich auch mal melden. Habt ihr noch Ideen, was man unternehmen kann?

Bevor es in die nächste Runde geht, warte ich einfach mal ab. Vielleicht meldet sich jemand von der pirobase imperia GmbH bei mir oder sie schließen die Lücke sofort. Sollte es so sein, werde ich natürlich darüber berichten.

Kommentare (6)

  1. Der Webserver betrachtet .inc halt als Plaintext und liefert es aus. Das ist mehr Fehlkonfiguration als Sicherheitslücke – in den Dateien ist doch nichts interessantes.

    • Na klar, die Endung „.inc“ kennen Server nicht. Da muss der Webserver (Apache in diesem Fall) richtig konfiguriert werden. In meinen Augen ist die fehlerhafte Einstellung auch eine Sicherheitslücke für das gesamte CMS.

    • Hallo, vor gut vier Wochen habe ich eine E-Mail an „info [at] imperia.net“ mit dem Hinweis geschrieben. Dazu am 12. September einen kleinen Tweet mit’nem Hinweis, dass da was nicht stimmt.

  2. Hallo Nico,

    erst mal vielen Dank dass Du diesen Fehler gefunden hast. Es ist zwar kein Fehler des CMS – nicht desto trotz ist das für unseren Kunden sehr wichtig dass er es hier schnell in Ordnung bringen kann.

    Zu dem Fehler:
    Bei dem beschrieben Auftritt erzeugt Imperia die Daten (HTML) nicht dynamisch, sondern generiert aufgrund des hinterlegten Templatings statische Seiten. Das sieht man auch daran, dass es in Imperia keine einzige Zeile PHP gibt (Imperia ist im Backend in Perl geschrieben).

    Fixen kann man es auf verschiedenste Weise – am einfachsten wahrscheinlich über die Apache Konfiguration, einige Templating Elemente muss man wohl auch anpassen. Dem Kunden habe ich Bescheid gesagt und er hat Teile des Problems schon behoben.

    Übrigens: Alle 500 Auftritte von denen Du sprichst und die man unter

    https://www.google.de/webhp?hl=de&q=%22Internetseiten+mit+dem+Web+Content+Management+System+Imperia%22

    findet, stammen aus der einen Imperia Installation der SPD-Niedersachsen und haben das gleiche Templating hinterlegt.

    Warum deine Email hier nicht angekommen ist, versuche ich gerade zu recherchieren.

    Vielen Dank nochmal für deine Hilfe,

    Gruß
    Georg

Kommentare sind geschlossen.