andi.de » exploit

Native Softwareentwicklung für das iPhone und den iPod touch

Andi — Wed, 31 Oct 2007 16:15:07 +0000

Für einen Informatiker stellt es eine spannende Herausforderung dar: native Applikationen für das iPhone, respektive den iPod touch, zu entwickeln.
Von Seiten Apples wurden bisher keinerlei Informationen über die auf dem iPhone verwendete MacOS-Adaption veröffentlicht; offizielle Ansätze, ein SDK für Entwickler zur Verfügung zu stellen, sind noch einige Monate entfernt.
Ich habe trotzdem den Versuch gestartet, native Applikationen für das iPhone zu entwickeln: zu groß ist die Herausforderung, die Möglichkeiten, welche das iPhone und er iPod touch bieten, mit eigenen Ideen zu ergänzen.
Das erste Hürde besteht die Installation einer passenden Entwicklungsumgebung, um Applikationen in der für das iPhone geeigneten ARM-Architektur kompilieren zu können. Es existieren hierzu mehrere HowTos, welche — obwohl höchstens einige Monate alt — zum Teil inzwischen veraltet sind.
Ich habe es nach einigen Ansätzen mit fast allen Wegen, eine Toolchain zu kompiliern, tatsächlich geschafft, die ARM-Umgebung lauffähig zu bekommen und bin nun in der Lage, die Applikationen passend zu kompilieren.
Damit beginnt die Herausforderung jedoch erst.
Da keine wirkliche Dokumentation zu den Funktionen der iPhone-Architektur existiert artet die Programmierung in ein stetes Trial-and-Error aus .
Trotzdem macht es unheimlichen Spaß, erste Ergebnisse zu sehen — umso mehr, als jedes Ergebnis den Erfolg des Ausprobierens bezeugt *g* — das gilt insbesonders dann, wenn man bislang nur wenig Erfahrungen in Objective C gesammelt hat .

WordPress: Cross-Site-Scripting-Lücke

Andi — Wed, 28 Feb 2007 13:38:08 +0000

Im 2.1-Versionspfad von WordPress sind erneut Sicherheitslöcher entdeckt worden, welche für Cross-Site-Scripting-Attacken genutzt werden können.
Eingaben an den Parameter ‘post’ in der Datei /wp-admin/post.php (falls “action” auf “delete” oder “deletecomment” gesetzt ist) werden nicht korrekt gefiltert, bevor sie an einen Benutzer zurückgegeben werden. Dies kann ausgenutzt werden, um im Kontext einer betroffenen Seite beliebigen HTML- und Scriptcode in der Browsersitzung eines Benutzers auszuführen und hierbei z.B. Cookie-Daten an fremde Server zu senden.
Für eine erfolgreiche Ausführung muss der betroffende Nutzer als Administrator angemeldet sein.
Ein weiterer Fehler betrifft die Suchfunktion. Sobald ein einzelnes Komma ohne zusätzliche Zeichen an die Suchmethode übermittelt wird, verabschiedet sich diese mit einem SQL-Fehler:

WordPress database error: [You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ') AND ((post_status = 'publish' OR post_status = 'private')) ORDER BY post_dat' at line 1] SELECT SQL_CALC_FOUND_ROWS wp_posts.* FROM wp_posts WHERE 1=1 AND () AND ((post_status = 'publish' OR post_status = 'private')) ORDER BY post_date DESC LIMIT 0, 10

Ein weiterer SQL-Inject durch dieses Problem ist bisher nicht bekannt.
Beide Fehler wurden im SVN-Trunk behoben, ein offizieller Bugfix oder Patch ist bislang nicht erhältlich. Bis zum Erscheinen eines solchen empfielt sich Vorsicht oder z.B. eine zusätzliche Absicherung durch mod_security o.ä.

Sicherheitslücke in WordPress 2.0.6

Andi — Thu, 11 Jan 2007 13:17:04 +0000

Schon kurz nach Erscheinen der letzten Version 2.0.6 von WordPress, die u.a. auch Sicherheitslücken schloss, taucht nun erneut eine kritische Lücke auf, die auch bei Version 2.0.6 noch funktioniert. Neben Nennung der für die Ausführung nötigen Voraussetzungen wurde auch sofort ein passender Exploit mitgeliefert.
Es wird eine Lücke in der Datei wp-trackback.php ausgenützt, um mittels SQL-Injection Passwörter auszulesen.
Als Voraussetzung für den Exploit ist (einmal mehr) die PHP-Option register_globals=on von Nöten (eine der schlimmsten Sicherheitsproblemstellen in PHP), ausserdem PHP-Version zwischen 4 und 4.4.3, bzw. kleiner 5.1.4.
Es empfiehlt sich, bis ein Patch die Lücke schließt, entweder dafür zu sorgen, dass register_globals nicht aktiviert ist (leider bei vielen shared hosting – Paketen immer noch aktiv), oder temporär die Datei wp-trackback.php umzubenennen (oder zu löschen) — als „Nebenwirkung“ werden dann temporär keine Trackbacks mehr empfangen.
Es gibt ferner Spekulationen, dass ebengenannter Exploit auch dazu benutzt worden sein könnte, um heute Nacht das Firmen-Weblog der Studentencommunity StudiVZ mit einem ‘Defacement‘ zu versehen und dort eine Gegendarstellung des CCC zu veröffentlichen (inzwischen ist das Blog komplett offline). Solange hierzu allerdings keine offizielle Verlautbarung des Betreibers vorliegt kann dies aber nur vermutet werden.

Update:
In einem Artikel bei heise online stellt der PHP-Experte Stefan Esser einige Details klarer dar:

Laut Esser liegt der Fehler, den der neue Exploit ausnutzt, nicht bei WordPress selbst, da es Sicherheitsabfragen gegen die eingesetzte Einbruchstechnik enthält. Laufe ein Server allerdings mit einer PHP-Version, die den Bug zend_hash_del_key_or_index aufweist, lasse sich der implementierte Schutz aushebeln, so Esser. (…) In aktuellen Linux-Distributionen ist die Lücke nicht enthalten. Auch in der unter Debian-Stable eingesetzten [PHP-]Version 4.3.10 ist die Schwachstelle bereits seit August behoben.