Mögliche Rechteausweitungen in XAMPP für Windows

Hier gibt es Neues und Ankündigen zu XAMPP.
Dieses Forum ist identisch mit der NEWS-Rubrik der Website. Nur kann hier auch was gesagt werden.

Mögliche Rechteausweitungen in XAMPP für Windows

Postby Oswald » 08. May 2006 13:08

Gestern wurden wir von Thierry Zoller auf mögliche Sicherheitslöcher in XAMPP aufmerksam gemacht. An dieser Stelle gleich auch einen lieben Dank an Thierry!

Wenn der Installationspfad für XAMPP für Windows ein Leerzeichen enthält (C:\Program files\XAMPP) und man nun eine Datei (C:\Program.exe) anlegt, dann kann damit zum Beispiel der Start des FileZilla-Dienstes abgefangen werden und dadurch ein fremdes Programm (nämlich besagtes C:\Program.exe) als Dienst ausgeführt werden.

Es sei explizit darauf hingewiesen, dass diese Lücke voraussetzt, dass ein Angreifer bereits über Vollzugriff auf dem Zielsystem verfügen muß. Sonst könnte er die C:\Program.exe nicht erstellen.

Thierry hat noch drei weitere Stellen gefunden an denen dieses Problem in gleicher Form auftritt. Ausführliche Details gibt es in Thierrys Blog.

Update 9. Mai 2006
Die aktuelle Windows-Beta behebt zwei der Probleme, die Thierry entdeckt hat. Die restlichen zwei werden in der nächsten Beta behoben.

Update 10. Mai 2006
Die neue Windows-Beta behebt nun sämtliche Probleme.
Last edited by Oswald on 10. May 2006 15:10, edited 4 times in total.
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
XAMPP Version: 5.5.19
Operating System: Linux

Postby deepsurfer » 09. May 2006 11:57

push
chirio Deep
Wie sagte einst der MCP aus Tron auf dem Bildschirm zu schreiben Pflegte
" ... end of communication ... "
User avatar
deepsurfer
AF Moderator
 
Posts: 6440
Joined: 23. November 2004 10:44
Location: Cologne
XAMPP Version: 5.6.3
Operating System: Win-XP / Win7 / Linux -Debian


Return to Ankündigungen und Neuigkeiten

Who is online

Users browsing this forum: No registered users and 2 guests