Schweres Sicherheitsproblem in der Standardkonfiguration

Irgendwelche Probleme mit XAMPP für Windows? Dann ist hier genau der richtige Ort um nachzufragen.

Schweres Sicherheitsproblem in der Standardkonfiguration

Postby cxx » 08. December 2010 12:55

Hallo zusammen,

wir stoßen hier in Zusammenhang mit etlichen XAMPP-Installationen auf Windows-Servern (die wir nicht direkt selbst betreuen) auf erhebliche Probleme mit gehackten Rechnern. Die Standardkonfiguration von XAMPP erlaubt den Zugriff auf WebDAV mit einem Default-Passwort und ermöglicht so das hochladen und ausführen von Skripten für jedermann - hier schießen dadurch DoS-Attacken ausführende Zombies wie Pilze aus dem Boden. Mir ist klar, dass Sinn und Zweck von XAMPP nicht der Betrieb auf öffentlich erreichbaren Servern ist, jedoch ist dies bei gewissen Gruppen doch Gang und Gebe. Darüberhinaus fehlt ein Hinweis diesbezüglich auch in der FAQ bezüglich der sicheren Konfiguration von XAMPP.

Das Problem ist nicht erst seit gestern bekannt:

https://www.metasploit.com/redmine/issues/2170
http://www.fortiguard.com/encyclopedia/vulnerability/xampp.webdav.malicious.php.file.upload.html

Ich halte es für unverantwortlich, XAMPP einerseits für eine unbedarfte Zielgruppe bereitzustellen, andererseits die Default-Konfiguration bewusst unsicher zu halten - 50% der User, die überhaupt den Hinweis, man solle XAMPP in der Standardkonfiguration nicht auf öffentlich erreichbaren Servern laufen lassen, lesen, interessiert das schlicht und ergreifend nicht.

Wo meldet man so etwas nun? Gibt es eine Mailing-Liste, Verantwortliche?

Grüße
Christian


PS Das gleiche kommt gleich auch übersetzt in das englischsprachige Forum.
cxx
 
Posts: 6
Joined: 08. December 2010 12:39

Re: Schweres Sicherheitsproblem in der Standardkonfiguration

Postby Nobbie » 08. December 2010 14:42

cxx wrote: Mir ist klar, dass Sinn und Zweck von XAMPP nicht der Betrieb auf öffentlich erreichbaren Servern ist, jedoch ist dies bei gewissen Gruppen doch Gang und Gebe.


Ja, wer dumm ist, der ist dumm. Das ist leider so.

cxx wrote:Darüberhinaus fehlt ein Hinweis diesbezüglich auch in der FAQ bezüglich der sicheren Konfiguration von XAMPP.


Wie bitte? Wie blind muss man denn dafür sein - das steht noch eine Ebene darüber, in FETT und GROSSBUCHSTABEN, direkt auf der Downloadseite http://www.apachefriends.org/de/xampp-windows.html - noch auffälliger geht es sicherlich nicht:

...
Die Praxis

Praxis 1: Die XAMPP Shell und das CLI
Praxis 2: Die XAMPP Server starten, stoppen, testen
Praxis 3: Die XAMPP Server als Dienste einrichten
Praxis 4: Die XAMPP AddOns
Praxis 5: Die XAMPP Upgrades

Die Frage nach der Sicherheit (UNBEDINGT LESEN!)

Die XAMPP Sicherheitskonsole

...


Was soll man machen, wenn keine Sau auch nur irgendetwas liest?

cxx wrote:Das Problem ist nicht erst seit gestern bekannt:


In der Tat, es ist uralt.

cxx wrote:Ich halte es für unverantwortlich, XAMPP einerseits für eine unbedarfte Zielgruppe bereitzustellen, andererseits die Default-Konfiguration bewusst unsicher zu halten - 50% der User, die überhaupt den Hinweis, man solle XAMPP in der Standardkonfiguration nicht auf öffentlich erreichbaren Servern laufen lassen, lesen, interessiert das schlicht und ergreifend nicht.


Ja und? Und was willst Du nun "melden"? Dass Idioten die Software nicht herunterladen dürfen? Idioten kriegen alles kaputt, sie lesen sowieso nie etwas und egal wie man Xampp oder Apache ausliefert, Idioten würden es so lange verbiegen, bis es offen ist wie ein Scheunentor. So sind Idioten. Wem willst Du das "melden"?

cxx wrote:Wo meldet man so etwas nun? Gibt es eine Mailing-Liste, Verantwortliche?


Melde die verantwortlichen Idioten, die so unsichere Webseiten betreiben: das ist die richtige Vorgehensweise. Die Software ist das nicht schuld, ich denke nicht, dass hier im Xampp Team (ich bin NICHT MItglied) irgendetwas veranlassen wird. Wozu? Wer keine Ahnung hat (und das sind die meisten Betreiber von Billigservern, das sind nun einmal nur ahnungslose Kiddies), wird auch ohne Xampp schlecht geschützte Server betreiben.
Nobbie
 
Posts: 8777
Joined: 09. March 2008 13:04

Re: Schweres Sicherheitsproblem in der Standardkonfiguration

Postby cxx » 08. December 2010 16:16

[Wie bitte? Wie blind muss man denn dafür sein - das steht noch eine Ebene darüber, in FETT und GROSSBUCHSTABEN, direkt auf der Downloadseite http://www.apachefriends.org/de/xampp-windows.html - noch auffälliger geht es sicherlich nicht:


Das bezog sich nur auf WebDAV, andere Scheunentore sind erwähnt, das übelste von allen, das welches ermöglicht, remote Code als Administrator auszuführen, wird nicht erwähnt.

Melde die verantwortlichen Idioten, die so unsichere Webseiten betreiben: das ist die richtige Vorgehensweise. Die Software ist das nicht schuld, ich denke nicht, dass hier im Xampp Team (ich bin NICHT MItglied) irgendetwas veranlassen wird. Wozu? Wer keine Ahnung hat (und das sind die meisten Betreiber von Billigservern, das sind nun einmal nur ahnungslose Kiddies), wird auch ohne Xampp schlecht geschützte Server betreiben.


Schön, das dieser Mist bei dir nicht die Produktion beeinträchtigt. Hier ist dies aber der Fall, seit dieses offene Scheunentor systematisch ausgenutzt wird, und auch Leute, die Ihre Server verantwortungsbewusst konfigurieren, leiden in dem Fall darunter. XAMPP-Installationen von DAUs werden zunehmend zum Problem. Und eine Konfiguration, die es wie gesagt erlaubt, aus der Ferne Code als Administrator auszuführen, hat auch in einem für Testzwecke designten Programm nichts zu suchen.
cxx
 
Posts: 6
Joined: 08. December 2010 12:39

Re: Schweres Sicherheitsproblem in der Standardkonfiguration

Postby Nobbie » 08. December 2010 16:49

cxx wrote:Schön, das dieser Mist bei dir nicht die Produktion beeinträchtigt. Hier ist dies aber der Fall, seit dieses offene Scheunentor systematisch ausgenutzt wird, und auch Leute, die Ihre Server verantwortungsbewusst konfigurieren, leiden in dem Fall darunter.


Dann zeige diese Leute an und sorge dafür, dass sie empfindlich bestraft werden.

cxx wrote: XAMPP-Installationen von DAUs werden zunehmend zum Problem.


Wenn es nicht Xampp ist, dann laden sie Apache nativ herunter, richten WebDAV ebenso schlecht ein (auch dort ist nicht pro Download ein eigenes Passwort eingerichtet) und richten den gleichen Schaden an (resp. sie selbst richten den Schaden ja nicht, sondern Drittidioten, die Spass an DOS-Attacken haben). Das Problem besteht darin, dass es ÜBERHAUPT WebDAV gibt - vielleicht hilft es, alle produktiven WebDAV Binaries nicht mehr zu warten. Ich persönlich halte es sowieso für Müll.

cxx wrote:Und eine Konfiguration, die es wie gesagt erlaubt, aus der Ferne Code als Administrator auszuführen, hat auch in einem für Testzwecke designten Programm nichts zu suchen.


Diese Konfiguration ist schon seit LANGER Zeit behoben, es wird schon seit vielen Monaten (oder sogar Jahren) eine Konfiguration ausgeliefert, die konkret "Allow From localhost" (und ein paar weitere lokale IPs Varianten) für den Adminbereich vorkonfiguriert hat. Letzteres ist ein schönes Beispiel: Xampp wird also auf diese Weise vorbildlich vorkonfiguriert - und was passiert? Die Kiddies laden es auf ihren Server, rufen Xampp auf - und bekommen natürlich die entsprechende Fehlermeldung um die Ohren gehauen. Also begeben sie sich in diverse Foren (u.a. auch hier hin) und es dauert nicht lange, da steht dann an gleicher Stelle "Allow From All" - nun sind die Kiddies glücklich, weil Xampp es tut!

Was soll man dagegen machen?
Nobbie
 
Posts: 8777
Joined: 09. March 2008 13:04

Re: Schweres Sicherheitsproblem in der Standardkonfiguration

Postby cxx » 08. December 2010 17:18

Wenn es nicht Xampp ist, dann laden sie Apache nativ herunter, richten WebDAV ebenso schlecht ein (auch dort ist nicht pro Download ein eigenes Passwort eingerichtet) und richten den gleichen Schaden an (resp. sie selbst richten den Schaden ja nicht, sondern Drittidioten, die Spass an DOS-Attacken haben). Das Problem besteht darin, dass es ÜBERHAUPT WebDAV gibt - vielleicht hilft es, alle produktiven WebDAV Binaries nicht mehr zu warten. Ich persönlich halte es sowieso für Müll.


Kein DAU würde sich WebDAV überhaupt konfigurieren. Die meisten der "Opfer" wissen nicht, das so etwas auf Ihrer Kiste läuft. Per se schlecht ist WebDAV auch sicher nicht, aber mit einem Standard-User mit leicht ratbarem Passwort eingerichtet und dann mit Möglichkeit, Remote Code auszuführen, das darf einfach nicht sein und hat auch eine deutlich größere Tragweite als die in den FAQ genannten Probleme, wie z.B. offenes phpMyAdmin etc.

Diese Konfiguration ist schon seit LANGER Zeit behoben, es wird schon seit vielen Monaten (oder sogar Jahren) eine Konfiguration ausgeliefert, die konkret "Allow From localhost" (und ein paar weitere lokale IPs Varianten) für den Adminbereich vorkonfiguriert hat. Letzteres ist ein schönes Beispiel: Xampp wird also auf diese Weise vorbildlich vorkonfiguriert - und was passiert?


Das ist so nicht ganz richtig. Fakt ist, dass frisch installierte XAMPP-Systeme innerhalb weniger Sekunden zum Zombie werden. Das darf auch bei Software, die in erster Linie für lokale Tests gedacht ist, nicht sein.

Nach deiner Aussage haben wir das hier gerade in einem Testsystem noch einmal verifiziert. Nach einer Standard-Installation und Anpassung gemäß FAQ wird im Security-Check alles als "sicher" angezeigt, während der WebDAV-Zugang mit Standard-Passwort immer noch nutzbar ist. Darüber kann man Skripte hochladen und diese ausführen - zu allem Übel als Administrator. Diese Lücke wird in den FAQ nicht erwähnt und der Sicherheits-Check vermittelt dem DAU das wohlige Gefühl, alles sei ok.
cxx
 
Posts: 6
Joined: 08. December 2010 12:39

Re: Schweres Sicherheitsproblem in der Standardkonfiguration

Postby Nobbie » 08. December 2010 17:57

cxx wrote:Das darf auch bei Software, die in erster Linie für lokale Tests gedacht ist, nicht sein.


Doch, das darf so sein. Es ist nun einmal NICHT für den Serverbetrieb gedacht. Und es widerspricht meinem Rechtsempfinden, Xampp dafür verantwortlich zu machen. Oder machst Du auch die Autoindustrie verantwortlich für die tödlichen Unfälle, die Fahranfänger mit deren Autos verursachen?

Sei mal konstruktiv anstatt Dich abstrakt irgendwo zu beschweren, und arbeite ein wirklungsvolles Konzept aus, wie verhindert wird, dass Anfänger mit Xampp Mist bauen. Das hätte sicher erheblich mehr Chancen erhört zu werden als einfach nur zu motzen. Und Lösungen wie "LISTEN 127.0.0.1" o.ä. sind dabei ebenso fruchtlos wie das vorgenannte Allow from localhost - das ist das allererste, was dann rausgeworfen wird...

P.S.: Wobei ich persönlich kein Problem damit hätte, den (Xampp)-Apache so zu compilieren, dass knüppelhart nur auf 127.0.01 gehorcht wird oder (als Kompromiss) noch die LAN-Bereiche 192.168.x.x und 10.x.x.x

Dann kann man es endgültig NICHT mehr im WWW einsetzen. Schlage es ruhig mal vor, meine Unterstützung hättest Du.
Nobbie
 
Posts: 8777
Joined: 09. March 2008 13:04

Re: Schweres Sicherheitsproblem in der Standardkonfiguration

Postby cxx » 08. December 2010 18:21

Doch, das darf so sein. Es ist nun einmal NICHT für den Serverbetrieb gedacht. Und es widerspricht meinem Rechtsempfinden, Xampp dafür verantwortlich zu machen. Oder machst Du auch die Autoindustrie verantwortlich für die tödlichen Unfälle, die Fahranfänger mit deren Autos verursachen?


Es geht mir garnicht um Verwantwortung und/oder darum Verantwortung irgendwem zuzuschieben. Es geht mir um reale Probleme völlig unbeteiltigter Personen, an denen man sich hier seit Monaten die Zähne ausbeißt, als deren Ursache sich diese Konfiguration von XAMPP erwiesen hat. Es geht nicht darum, irgendwem die Schuld daran zu geben, es geht darum, dieses Problem aus der Welt zu schaffen.

Sei mal konstruktiv anstatt Dich abstrakt irgendwo zu beschweren, und arbeite ein wirklungsvolles Konzept aus, wie verhindert wird, dass Anfänger mit Xampp Mist bauen. Das hätte sicher erheblich mehr Chancen erhört zu werden als einfach nur zu motzen. Und Lösungen wie "LISTEN 127.0.0.1" o.ä. sind dabei ebenso fruchtlos wie das vorgenannte Allow from localhost - das ist das allererste, was dann rausgeworfen wird...


Inwiefern? Das Problem ist benannt - es gibt einen Standarduser, der es ermöglicht, aus der Ferne ein XAMPP-System zu kompromittieren. Dieses Problem wird in der Dokumentation nicht wirklich konkret benannt, und ist an der Stelle, wo es Erwähnung finden sollte, im "Security-Check" nicht erwähnt. Und da WebDAV kaum jemand der hier betroffenen Kandidaten nutzen wird, wäre sogar "Allow from localhost" eine annehmbare Lösung.

Ich fürchte, du bist dir nicht ganz der Tragweite dieses Problems bewusst und fühle mich ein wenig missverstanden. Es geht eben gerade um etwas, was tatsächlich nicht in den FAQ Erwähnung findet (da hast du ja als erstes drauf hingewiesen - aber glaub bitte nicht, wir hätten das nicht sorgfältig geprüft).

Es geht hier um Remote-Code-Execution, das hat nichts mit den in den FAQ genannten Sicherheitsproblemen zu tun.

So, konstruktive Vorschläge, was man dahingehend an der Konfiguration ändern könnte, damit man diese nicht zwischen meinen Zeilen herauslesen muss :

1. WebDAV nicht per Default einschalten
ODER
2. WebDAV in der Default-Konfiguration nur lokal nutzbar machen
ODER
3. WebDAV ohne vorgefertigte User konfigurieren
ODER
4. PHP-Modul für die WebDAV-Freigabe deaktivieren



Wobei ich persönlich kein Problem damit hätte, den (Xampp)-Apache so zu compilieren, dass knüppelhart nur auf 127.0.01 gehorcht wird oder (als Kompromiss) noch die LAN-Bereiche 192.168.x.x und 10.x.x.x

Dann kann man es endgültig NICHT mehr im WWW einsetzen. Schlage es ruhig mal vor, meine Unterstützung hättest Du.


Erneut fühle ich mich missverstanden. Es geht mir nicht um Flames oder darum, XAMPP madig zu machen, oder gar den Betrieb selbst nach Absicherung zu verhindern. XAMPP ist für seinen Zweck ein feines Stück Software, aber hier liegt ein schwerwiegendes, jedoch unnötiges Sicherheitsproblem vor, und das selbst dann, wenn man alle Hinweise der Dokumentation beachtet.



[Edit: Rechtschreibfehler]
cxx
 
Posts: 6
Joined: 08. December 2010 12:39

Re: Schweres Sicherheitsproblem in der Standardkonfiguration

Postby ReFreSh » 14. December 2010 12:10

Hallo,

Ich bin leider ein "opfer" dieser Sicherheitslücke geworden. Es wurden DDOS attacken ausgeführt die über diese Sicherheitslücke getätigt wurden.
Nun, ich habe mich kurz durchgelesen aber keinen wirklich richtigen Lösungsvorschlag den auch ein "leie" verstehen kann, gefunden.

Ich wäre froh wenn dazu eine genaue Anleitung erstellt werden könnte, sodass die User (auch jene die nicht so viel Ahnung haben) das einfach Fixen können.

XAMPP habe ich jetzt Deaktiviert. Sollte hierzu keine Lösung auftauchen, werde ich wohl auf IIS zurückgreifen müssen.

Beste Grüsse
ReFreSh
 
Posts: 2
Joined: 14. December 2010 12:05

Re: Schweres Sicherheitsproblem in der Standardkonfiguration

Postby Nobbie » 14. December 2010 16:17

ReFreSh wrote:Sollte hierzu keine Lösung auftauchen, werde ich wohl auf IIS zurückgreifen müssen.


Tue das!

Die Sicherheitslücke ist allerdings nicht Xampp, sondern Du selbst. Du musst selbst lernen, wie man einen Server sicher konfiguriert. Xampp ist nicht für Server gedacht, wenn man es dennoch dort einsetzt, muss man das entsprechende Wissen mitbringen.
Nobbie
 
Posts: 8777
Joined: 09. March 2008 13:04

Re: Schweres Sicherheitsproblem in der Standardkonfiguration

Postby Pitze » 14. December 2010 20:25

P.S.: Wobei ich persönlich kein Problem damit hätte, den (Xampp)-Apache so zu compilieren, dass knüppelhart nur auf 127.0.01 gehorcht wird oder (als Kompromiss) noch die LAN-Bereiche 192.168.x.x und 10.x.x.x

Ob das was bringt ist fraglich da es mitlerweile unter Windows wie auch unter Linux doch recht einfach ist einen laufenden Webserver aufzusetzen und selbst die ganzen Zusatsfunktionen sind nicht so schwer einzubinden und erst daraus entstehen dann die Probleme weil die meisten überhaupt keine Ahnung haben wie man den ganzen kram richtig einrichtet und sichert.
Wer einen Webserver aus einzelkomponenten oder auch als Packet wie Xampp in der Grundkonfiguration ans Netz häng dem sollte der Rechner in Rauch auf gehn und wer trotz der Warnung nicht lassen kann hat es auch nicht anders verdient das er rechtlich zur verantwortung gezogen wird.
Zich tausende male wurde hier schon davor gewarnt ohne ausreichende Kentnisse der gesamten Materie Xampp ans Netz zu hängen so das es eigendlich jeder wissen müsste.
Ich bin leider ein "opfer" dieser Sicherheitslücke geworden. Es wurden DDOS attacken ausgeführt die über diese Sicherheitslücke getätigt wurden.
Nun, ich habe mich kurz durchgelesen aber keinen wirklich richtigen Lösungsvorschlag den auch ein "leie" verstehen kann, gefunden.

Hut ab für soviel Mut seine Dummheit hier öffendlich zu machen.
Der grösste Vertrauensbruch ist der Blitzableiter auf der Kirchturmspitze
User avatar
Pitze
 
Posts: 210
Joined: 20. November 2003 21:38
Location: Huskvarna-Schweden
Operating System: Windows Vista

Re: Schweres Sicherheitsproblem in der Standardkonfiguration

Postby Nobbie » 14. December 2010 21:59

Pitze wrote:Ob das was bringt ist fraglich da es mitlerweile unter Windows wie auch unter Linux doch recht einfach ist einen laufenden Webserver aufzusetzen und selbst die ganzen Zusatsfunktionen sind nicht so schwer einzubinden und erst daraus entstehen dann die Probleme weil die meisten überhaupt keine Ahnung haben wie man den ganzen kram richtig einrichtet und sichert.


Absolut 100% Zustimmung! Aber weil eben hier manche eine Art "Politikum" daraus machen wollen ("Xampp ist Schuld"), kann man ja auf diese Weise diesen Stachel ziehen. Selbstverständlich bleiben die Dummen übrig, die dann mit anderen Distributionen ungeschützte Server aufziehen - warum das nur uns beiden einleuchtet, ist mir allerdings unbegreiflich.

Ich verstehe auch nicht, warum nicht die Betreiber dieser unsicheren Server angemahnt und abgestraft werden - das ist, wenn auch lästig, der einzig richtige Weg. Es muss weh tun, richtig weh tun, damit es endlich in die Dumm-Köpfe geht, dass man nicht "einfach so" mal eben einen Webserver Online stellen kann. Und letzteres ist nämlich (wie Du völlig richtig aufzeigst) auch mit nativen Installationen und Distributionen möglich. Wenn es Xampp nicht mehr gibt (oder wenn es Xampp Online nicht mehr "tut"), dann wird doch logischerweise eine andere Distribution genommen.
Nobbie
 
Posts: 8777
Joined: 09. March 2008 13:04

Re: Schweres Sicherheitsproblem in der Standardkonfiguration

Postby ReFreSh » 15. December 2010 16:09

Ja ok, da muss ich dir natürlich auch recht geben. Ich hab eigentlich nur Gameserver betrieben und XAMPP genutzt um Hlstats und andere Stat oder Config Programme laufen zu lassen. Ich werde mich gerne mal mehr damit befassen und mich durchlesen bevor ich nochmals so leichtsinnig etwas nutze =) Aber von der einfachheit her, war/ist XAMPP einfach super!

Liebe Grüsse
ReFreSh
 
Posts: 2
Joined: 14. December 2010 12:05

Re: Schweres Sicherheitsproblem in der Standardkonfiguration

Postby Pitze » 19. December 2010 03:23

@wole
Nun ich habe mal vor etwa andert halb Jahr getestet wie schwer es wohl ist für mich war es keine so grosse schwirigkeit. Ich denke ich bin da wohl ein wenig kuzsichtig ran. Das wissen was man hat vernebelt einem leicht den Blick für die Realität das es ja überwigend unerfahrene User sind die Xampp anwenden. Aus der Richtung betrachtet hast du schon recht. Nur wie bekommt man die auf die Richtige Spur ohne gleich so drastische Masnahmen zu ergreifen?
Aber vielleicht wäre es ja schon mal eine Möglichkeit hier strikt keine Anleitungen mehr disbezüglich zu geben und expliziet darauf hinzuweisen das Xampp nur Local verwendet werden soll bzw muss oder kann.
Der grösste Vertrauensbruch ist der Blitzableiter auf der Kirchturmspitze
User avatar
Pitze
 
Posts: 210
Joined: 20. November 2003 21:38
Location: Huskvarna-Schweden
Operating System: Windows Vista

Re: Schweres Sicherheitsproblem in der Standardkonfiguration

Postby cxx » 21. December 2010 12:38

"Drastische Maßnahmen" sind eigentlich nicht wirklich erforderlich, Apache hardcoded auf 127.0.0.1 zu binden wäre meines Erachtens "Overkill" und ist mir hier lediglich von einem Forentroll(?) in den Mund geschoben worden.

Ein Traum wäre, wenn der Installer im Rahmen des Setup überprüft, ob das System eine öffentliche IP hat und in dem Fall entsprechend eine sichere Default-Konfiguration eingerichtet wird, das würde alle Probleme in die Richtung ausmerzen.

Völlig ausreichgend für uns hier wäre aber schon, diesen WebDAV-Standard-User zu entfernen, dann gäbe es keine derartigen Probleme.

Mindestens aber muss der User deutlicher auf dieses Problem aufmerksam gemacht werden.
cxx
 
Posts: 6
Joined: 08. December 2010 12:39


Return to XAMPP für Windows

Who is online

Users browsing this forum: No registered users and 14 guests