Sicherheitsloch in XAMPP
Thierry Zoller weist in einer Sicherheitsmeldung darauf hin, dass das populäre Softwarebündel XAMPP für Windows eventuell unerwünschte Programme mit Systemrechten ausführen könnte. Bei XAMPP handelt es sich um eine Distribution des Open-Source-Webservers Apache, die bekanntermaßen unter anderem auch MySQL, PHP, Perl, OpenSSL, phpMyAdmin, Mercury-Mail, FileZilla, SQLite sowie zahlreiche Apache-Module in einem einfach zu installierenden und einzurichtenden Paket enthält.
Dieses neue Sicherheitsloch wird lediglich durch fehlende Anführungsstriche um den Pfad beim Aufruf der enthaltenen Programme und in den Konfigurationsdateien aufgerissen. Installiert man XAMPP, so wird standardmäßig der Pfad C:\program files\ vorgegeben. Diese Server lassen sich somit als Dienste installieren, die bei einem Systemstart dann ausgeführt werden. Durch das Leerzeichen in dem Pfad und eben den fehlenden Anführungszeichen wird beim Aufruf der Programme eine Datei mit dem Namen C:\program.exe – auch die Endungen .bat, .cmd sowie .com funktionieren – ausgeführt werden, da die Windows-Funktion CreateProcess() das Leerzeichen ohne Anführungsstriche nicht berücksichtigen kann und nun versucht, eine ausführbare Datei aufzurufen, die als Parameter die Zeichenkette nach dem Leerzeichen übergeben bekommt.
Betroffen von diesem Problem ist der FileZilla Server, der als FTP-Server für XAMPP operiert und als Systemdienst in Windows eingerichtet wird. Unter der XAMPP-Administrationsoberfläche ist MySQLadmin ohne Anführungsstriche eingetragen. Die CGI-Skripte könnten unter diesen Voraussetzungen ebenfalls eine C:\program.exe starten.
Die Softwaresammlung XAMPP ist zwar für Webentwickler gedacht, aber sie scheint häufig auch in Produktivumgebungen zum Einsatz zu kommen. Die Software kann man aber absichern, in dem XAMPP entweder in ein Verzeichnis ohne Leerzeichen im Namen zu installieren ist oder man setzt besser die fehlenden Anführungsstriche händisch.
Siehe dazu auch:
XAMPP - Multiple Priviledge Escalation and Rogue Autostart, Sicherheitsmeldung von Thierry Zoller
Quelle: heise