mboost-dp1

unknown

Alvorlig sikkerhedsfejl på cliche.dk’s ASP-servere

- Via Mail fra MaCPaCk - , redigeret af Net_Srak

newz.dk brugeren MaCPaCk har opdaget en alvorlig sikkerhedsfejl på webhotellet Cliche’s ASP-servere, i forbindelse med at han rodede med nogle scripts.

Fejlen betyder, at man igennem fil-funktionerne i et ASP-script kan få adgang til filer som ligger uden for ens eget webhotels område, ved at angive stier som “../” og lign. i sine scripts, og den skyldes en fejl i opsætningen på serverne. Ved at udnytte denne fejl, kan man i realiteten stjæle alle andre kunders materiale, og sabotere deres websider.

MaCPaCk kontaktede Cliche pr. mail d. 3/8 angående fejlen, men fik ikke svar på om den var blevet rettet, eller om Cliche overhovedet var klar over denne fejl. Vi har på newz.dk forsøgt at kontakte Cliche d. 7/8, men har nu, tre dage senere, stadig ikke modtaget noget svar.

Opdatering: Jf. udtalelse fra fra Morten Bonavent i Computerworld, så er der nu gennemført omfattende sikkerhedsopdateringer.





Gå til bund
Gravatar #1 - Anders Kusk
10. aug. 2005 19:04
blogbot.dk som bliver hostet af cliche har her de sidste mange dage haft problemer, kunne det have noget med at gøre mon?
Gravatar #2 - sepstrup
10. aug. 2005 19:05
Jamen så må et "angreb" jo være måden at fortælle dem det på så de forstår det :D
Gravatar #3 - NFX
10. aug. 2005 19:05
Uh-oh - dette bliver Cliche nok ikke glade for - har man (Macpack/newz) prøvet at kontakte dem via telefon?

Derudover et pæænt dumt sikkerhedshul, sådan noget burde ikke kunne ske i opsætningen.
Gravatar #4 - TullejR
10. aug. 2005 19:07
typisk, det er garanteret en enkelt mand der står for det sådan cirka, og han sidder på bahamas lige nu og ryger den fede.

sorry, men jeg har ikke tillid til de billige webhosts. desuden er langt de fleste php-hosts også direkte farlige med global sat til "on".

sikkerhed er ikke eksisterende i dag.
Gravatar #5 - Indox
10. aug. 2005 19:08
Det er da et fremragende signal at sende om sikkerheden på ens servere, at man bare ignorerer så alvorlige sikkerhedsfejl. Undskyld mig, men så er de altså selv ude om det, hvis nogen udnytter det.
Og hvis det er så nemt, som det lyder at udnytte fejlen, at enhver med den mindste kendskab til HTML kan udnytte det, så er det da ekstra latterligt
Gravatar #6 - amokk
10. aug. 2005 19:09
En ret åbenlys fejl IMHO, burde være noget alle webhoteller checker for! Der var samme fejl i gamle dage på Abusiness' servere, der kan jeg huske at jeg igennem min egen PHP baserede dirbrowser(TM) kunne gå ind og hente andre kunders scripts og se deres private filer - hvilket hurtigt blev rettet af deres admin som i øvrigt var en bekendt

#3

Mon ikke kan kan regne med at et WEBHOTEL firma modtager og læser deres emails?
Gravatar #7 - cjoey
10. aug. 2005 19:12
Helt uacceptabelt, jeg er lige ved at flytte alle mine sider fra cliche til B-one af samme grund.
Gravatar #8 - s1h
10. aug. 2005 19:12
De ved sikkert ikke hvordan de skal rette fejlen :)
Gravatar #9 - amokk
10. aug. 2005 19:14
#7 ok, dvs. pga. denne nyhed, eller du havde måske opdaget fejlen i forvejen?

(btw sørg altid for selv at køre DNS på gratisDNS, så kan du pakke dine filer og skride over på et andet webhotel på ½ time)
Gravatar #10 - mrmorris
10. aug. 2005 19:15
Hehe, en PHP SAFE_MODE pendent! Hvorfor har denne nyhed ligget idle i 4-5 dage? Skulle de have tid til at rette fejlen før newz' brugere kunne få nys om det? lol
Gravatar #11 - bitnissen
10. aug. 2005 19:16
Jeg forstår det slet ikke. Deres support har da ellers normalt svaret ret hurtigt og godt når man har kontaktet dem, men det er så også over et år siden sidst, da jeg fik flyttet den sidste side jeg havde på cliche's servere til surftown, hvilket jeg ikke har fortrudt (rart at kunne styre næsten alle aspekter af ens webhotel uden at skulle kontakte nogen).
Gravatar #12 - scarlac
10. aug. 2005 19:17
Jeg synes ikke vi skal opfordre til angreb på andre herinde.
Men ja, jeg tror faktisk et angreb på flere "større" kunder hos dem vil få dem til at komme ud af starthullerne.
Da jeg havde cliché i sin tid var de ellers udemærket til at besvare mine e-mails... Især da jeg begyndte at bruge "for meget" af deres "fri" båndbredde.
De havde sjovt nok svært ved at klage over indholdet af min hjemmeside da det ikke klart brød med deres forretningsbetingelser, men det endte dog med at jeg havde ondt af dem og satte en stopper for det...
Gravatar #13 - Pernicious
10. aug. 2005 19:21
#10

Ja er faktisk derfor. Vi gjorde det samme dengang Jubii havde en zip-fil liggende, med mere end 200.000 e-mail-adresser på deres offentlige ftp-server. Her reagerede de dog prompte og fjernede filen et par minutter efter mailen var sendt, hvorefter vi bragte nyheden.

Det mener vi er den rigtige måde at gøre det på, i dette tilfælde har vi så ikke hørt noget fra Cliche, men bringer nyheden nu, da vi mener at de har haft alle muligheder for at lappe hullet. Skal så siges at jeg ikke ved om de rent faktisk allerede har gjort det.
Gravatar #14 - mrmorris
10. aug. 2005 19:25
#13 Fair nok, og måske den bedste grund jeg endnu har hørt på hvorfor "Nyheder under udarbejdelse" ikke linker viddere.
Gravatar #15 - TullejR
10. aug. 2005 19:29
#13:

ja, det er MEGET MEGET bedre at lade forbrugerne være uvidende om at sikkerheden på deres webhotel stinker mens de få folk der så kender til hullerne langsomt gennemkigger alle tante Idas hemmelige madopskrifter.

det er meget bedre end at brugerne selv finder ud af det så de med det samme kan fjerne den slags ting!!

seriøst, det er første gang jeg siger dette om newz.dk, men jeg synes Jeres politik på dette område stinker!



btw. kan man ikke også skrive til filerner på denne måde? værsgod, fri skriveadgang til hele webhotellet (uden at brugerne ved det, igen fordi dem der kan advare brugerne holder kæft...)
Gravatar #16 - amokk
10. aug. 2005 19:30
#14 :-) husk det næste gang der bliver en diskussion om emnet

#12 "Men ja, jeg tror faktisk et angreb på flere "større" kunder hos dem vil få dem til at komme ud af starthullerne."

Øhm undskyld mig men hvilke "større" kunder har et discounthotel som cliche jo er? Hvis jeg havde en forretning, så ville jeg da til hver en tid vælge at give de 50-100 kr om måneden som det koster, for at få den hosted et sted hvor de har styr på sådanne ting... Man får hvad man betaler for, også på webhoteller!


#15 vær dog glad for at vi bringer nyheden i det mindste!

Ved med det samme at gå ud og fortælle om den fejl der er på deres webhoteller, inviterer vi også en gruppe scriptkiddies til gå løs. Derfor skal ALLE (selv MS) have en chance for at rette en fejl, inden udnyttelsen af fejlen offentliggøres. Hvis fejlen så stadig ikke er rettet, er man selvfølgelig nødt til at fortælle om den, så folk er advaret, men i første omgang er det bedre at indgå den medfølgende panik og en flok lamme scriptkiddies som kommer og smadrer andres filer. Og i de aller fleste tilfælde, bliver fejlene også rettet inden de bliver offentliggjort
Gravatar #17 - TullejR
10. aug. 2005 19:32
#16:

nu vil jeg ikke nævne nogen navne, men jeg er stødt på et par ellers respektable firmaer der er hostet hos web10 der nok er cirka lige så ``prof'' som cliche =)
Gravatar #18 - mrmorris
10. aug. 2005 19:34
Mon de (cliche) også stadig har en SQLDebugger konto aktiveret så?
Gravatar #19 - bitnissen
10. aug. 2005 19:36
#15 - Hvis newz.dk havde postet nyheden uden videre, havde skaderne muligvis været ret katastrofale for cliche og deres kunder, da scriptkiddies med det samme ville prøve at udnytte sikkerhedshullet og pludselig ville en eller anden prøve rm -rf (eller hvordan det nu hedder på windows-systemer) og woila, alt for meget var væk. Tak newz.dk, så skulle du nok se en masse negative posts i forum fordi deres sites var væk pga. newz.dk's mangel på omtanke.

edit: pokkers #16, du er hurtig :-)
Gravatar #20 - Regus
10. aug. 2005 19:36
Er det kun mig der synes det er lidt uhensigsmæssigt ligefrem at skrive opskriften på at udnytte sikkerhedshullet i nyhedsteksten - det havde da været nok at skrive at det gav brugerne adgang til hinandens filer.

Så de der ved lidt om det sansynligvis godt regne ud hvordan man gør - men det giver ikke 10 årrige jens der leger med asp mulighed for at gøre noget dumt.
Gravatar #21 - Blinklys
10. aug. 2005 19:36
Jeg er desværre ikke specielt overrasket over nyheden, og det er bestemt ikke kun Cliche, der har dette problem. Det er også det samme problem på PHP-hoteller der ikke bruger safe_mode, som #10 også nævner. Jeg tror desværre mange webhoteller ikke er klar over, hvilke risici der er forbundet med at deres brugere kører scripts på deres servere. Til gengæld er mange af deres brugere nok heller ikke klar over hvilken skade de kan udrette.
Gravatar #22 - TullejR
10. aug. 2005 19:41
#16:+19..

først og fremmest virker det næsten som noget religiøst om man tror på det ene eller på det andet.

anyways, det er sgu da ikke "rm -rf /" der er farlige her, det værste er sgu da folk der piller en smule ved indholdet, eller laver propaganda på andres websites, eller spyware installers - den slags. den slags man ikke bemærker.

hvis folk ikke ved at deres filer ligger åbent for alle til at ændre vil man ikke bemærke den slags ting her, men hvis folk bliver oplyst om problemet kan det være de vil være obs på den slags, lige tage backup og så evt. lukke siden til cliche-idioterne tager sig sammen til at finde en løsning.
Gravatar #23 - Montago.NET
10. aug. 2005 19:42
#7 - Brug UnoEuro i stedet

www.unoeuro.com

B-ONE er noget lort !
Gravatar #24 - xeqt
10. aug. 2005 19:42
#21

Jepsen... mange mange mange webhoteller, java chats, PHP server osv. har åbne huller og fejl. Man skal virkelig passe på derude. Det tager ik 5 min at finde en fejl hvis man leder grundigt nok, men en så markant fejl som denne er alligevel skræmmene :S

Nice find MaCPaCk :)
Gravatar #25 - JoBr
10. aug. 2005 19:43
Lige en lille historie til samlingen...

Mig og cypres(her fra newz.dk) driver til dagligt et mindre IT-firma, der primært laver hjemmesider. I forbindelse med nogle ændringer en af vores kunders hjemmeside opdagede vi en sikkerhedsfejl på DKviaNET's servere, ændringerne på kundens hjemmeside var database relaterede(MySQL), og da cypres ikke kunne finde DKviaNETs phpmyadmin, uploadede han selv en version. Pr default logger phpmyadmin ind med "root" som bruger og intet password. Og det var så det der skete da cypres og jeg åbnede phpmyadmin. Der var altså ingen adgangskode på root brugeren. Der sad vi så med DKviaNets database over deres domæner, kunder, e-mail-konti og password, dertil skal det porienteres at alle kunders adgangskoder lå som clear-tekst. Og vi havde fuld access(chmod 777). Vi var meget chokkerede og underrettede straks DKviaNET omkring fejlen, som hurtigt blev rettet...

cenzole
Gravatar #26 - amokk
10. aug. 2005 19:45
#20 nu er det jo kun skrevet som et hint, ikke som en konkret opskrift, så det er med henblik på, at dem der har forstand på hvad det drejer sig om, selv kan checke efter om de har fejlen på deres server. MaCPaCk sendte i øvrigt en komplet opskrift til os, på hvordan man installede nogle scripts som findes over alt på nettet, og som med lidt tilpasning som kunne udnytte det direkte, men denne har vi selvfølgelig ikke bragt.
Gravatar #27 - mrmorris
10. aug. 2005 19:45
#23 Synes dog UnoEuro skuffer en smule mht. features (mangler SSL, PEAR, CGI mm.) men sikkerheden synes dog at være helt ok!
Gravatar #28 - loldongs
10. aug. 2005 19:46
Leger for sjovt med .asp - samt til dagligt arbejder jeg for IT afdelingen på SmartGuy.dk i jyderup.


HOLY FUCK!
"mekpek" er jo sikkerheds ekspert!!!
http://smartguy.dk/butik/VisEfterType.asp?mid=55&a...

welcome til interFUCKINGnettet, morrons!

PS: tak for kreditkort oplysningerne, smart smartguy.dk!
Gravatar #29 - TullejR
10. aug. 2005 19:48
#28:

lol, med det link der kunne man fristes til at tro at sql-injection er muligt/nemt =)
Gravatar #30 - loldongs
10. aug. 2005 19:50
#29
no shit, sherlock?
Gravatar #31 - macpack
10. aug. 2005 20:14
Hey Guys

Inden jeg overhoved valgte af sende nyheden til cliche.dk - Så kontaktet jeg cliche.dk pr. mail og ventede til de svaret tilbage..

Og de har skam svaret tilbage med af fejlen er fixet...
(Kan sige af det er den ikke, samt cliche.dk har fået en mail om dette.)


Jeg er ikke ude på af hacke nogen eller noget,, men ville derimod bare oplyse af selv "halv" store web hosting firma´er også kan have små/store fejl...


Ja kan oplyse af jeg har indsendt en til nyhed her på newz.dk, hvad fejlen præcis var samt hvilke script der er blevet brugt.
Om newz.dk har valgt af offentlig gøre den nyhed her på, er op til newz.dk

Men cliche.dk har som sagt skrevet tilbage til mig af fejlen er rettet, så jeg går udfra der intet problem i, er at sige hvad jeg præcis har gjordt...


Kan meddele af det er "stortset" alle asp servere, samt det er også testet på windows server 2003 asp... "samme fejl".


Igen, jeg håber ikke i tar denne her nyhed negativt...

//MaCPaCk
Gravatar #32 - Redhack
10. aug. 2005 20:15
Er der ikke en som har en hjemmeside der som vil lade sig "cracke"? Så kan vi også få testet om deres backup fungere da det jo må være dem som skal rette op på de data som Crackeren nu sletter/ændre? :)

Det ville først være rigtig sjovt hvis de ikke kan præsentere en ordenlig backup. ;)

Men.. Cool nyhed. :)
Gravatar #33 - Blinklys
10. aug. 2005 20:17
#25
Skræmmende historie, og et udemærket eksempel på hvad der sker når folk ikke gider læse MySQL manualen. Det er hamrende uansvarligt, og det er rystende at tænke på, hvor almindelige disse problemer er. De fleste kan sikkert huske MySpooler ormen, der for noget tid siden inficerede mange Windows-baserede MySQL installationer, der havde svage eller ingen root passwords. På *nix er MySQL's standard root konto heldigvis mere restriktiv, da den kun kan forbinde via localhost (modsat Windows' der kan forbinde fra alle hosts). Men når man eksempelvis kører på phpMyAdmin, så ligger det jo ofte på samme maskine som MySQL, og så har den localhost-rettigheder. Man bør altid give root et password, som det også står højt og tydeligt i installations afsnittet i MySQL manualen.

En anden skræmmende ting jeg ofte ser, er at folk bliver anbefalet at chown 777 deres webbiblioteker eller sætte apache's konto som owner af web-bibliotekerne, når de har problemer med PHP-filuploads :S
Gravatar #34 - lollypork
10. aug. 2005 20:17
Haha.. Morsomt. Har lige opdaget præcis dem samme fejl i nat (!) ved min udbyder! :D Tror lige jeg sender ham et link...
Gravatar #35 - macpack
10. aug. 2005 20:20
Hey igen...

Jeg bruger newz.dk hverdag som startside....

Men syntes sku det er lidt larmt af mit nick MaCPaCk ikke kommer som ham bag nyheden her..!!!

Altså af crediten ikke går til mig, da det jo ikke er amok som har skrevet dette...


jeg kan ihvertfald ikke forstå hvad grunden til, af amokk tog crediten...
Gravatar #36 - TullejR
10. aug. 2005 20:23
#35:

garanteret juridisk, noget med at det ikke skal fremstå som newz selv der har fundet ud af dette hvis nogen skulle blive tossede over nyheden. derfor omtales du som 3. person.
Gravatar #37 - wAsabi
10. aug. 2005 20:24
intet nyt cliche.dk - udstiller logfiles på diverse hostings,

fejl - bøf ? el. manglende forståelse for it-sikkerhed ?

mere flovt ...........
Gravatar #38 - Regus
10. aug. 2005 20:28
#26
Tjah altså hvis jeg havde set sådan en nyhed da jeg lige var startet med at lege med asp tror jeg nok jeg kunne have fundet ud af hvordan det virkede på baggrund af det der står, og med den manglende viden jeg havde den gang kunne jeg sagtens ganske uforvarende have gjort skade, og hintet er i mine øjne helt unødvendigt - der er jo ingen her der har det mindste behov for at vide mere end at det kan lade sig gøre og eventuelt at det ikke kræver en phd at unytte.
Gravatar #39 - KA|N
10. aug. 2005 20:30
hvad fanden har det her med nyheder at gøre, som jeg ser det er det en gang piveri over at folk ikke gider høre efter wah wah det er så synd jeg er superhaggeren mekpek og de ignorerer mig bare :( :( :( waaaah
Gravatar #40 - macpack
10. aug. 2005 20:32
#7
Fejlen er også på b-ones asp servere..

Jeg skal ikke spille klog, samt kan ikke sige det 110%.
Men vil skyde på af dette her er en universal fejl på alle .asp servere, da fejlen også findes på windows server 2003
Gravatar #41 - mrmorris
10. aug. 2005 20:33
#39 Det sætter vel i høj grad fokus på kombinationen webhoteller og sikkerhed? Ifølge nyheden gad cliche ikke engang rette fejlen og det kan ingen da være tjent med. Hvis vi er heldige, får det andre webhoteller til at tænke sig en ekstra gang omkring sikkerheden på deres servere.
Gravatar #42 - macpack
10. aug. 2005 20:33
I har fuldstændig ret,, det var forkert af mig at bringe nyheden her på newz.dk

Så har sendt mail til newz.dk ang sletning af denne her nyhed...
Gravatar #43 - Pernicious
10. aug. 2005 20:38
#42

Nyheden bliver ikke slettet. Vi bringer dog gerne en opdatering til den, såfremt nye verificerede fakta foreligger, f.eks. at hullet er lukket (og evt. har været det i x dage).
Gravatar #44 - sKIDROw
10. aug. 2005 20:38
#42

Hvis du vil have credit, skal du sende den ind via:
http://newz.dk/news-form.php

Hvis andre skal taste det ind for dig via formularen, bliver det jo i deres navn systemet registrere den. Og jo send endelig løs, vær ikke bange for at enkelte tuder over det... :)
Gravatar #45 - Blinklys
10. aug. 2005 20:39
#41 Enig. Det gør bestemt ikke noget, at der kommer en masse røre i andedammen over det her. Det er tydeligvis et udbredt problem.
Gravatar #46 - macpack
10. aug. 2005 20:40
#44
jeg er ikke sur eller noget..

Men allerførst sendte jeg den ind via. mail, hvorved jeg fik en mail tilbage af jeg skulle bruge formulaeren,, og det gjorde jeg så...

Samt jeg tror nyheden lå under udbarbejdelse i 1uge eller noget før der skete noget.,
Gravatar #47 - macpack
10. aug. 2005 20:41
#44 & 46

Ok i må bare forstå at jeg gider ikke blive sagsøgt eller noget pga. dette...

Da som nævnt til cliche.dk samt i nyheden her, af jeg ikke var ude på ondsindet ting. Men derimod en fejl jeg fandt jeg roddet med et filhåndterings script,.
Gravatar #48 - sKIDROw
10. aug. 2005 20:43
#46 macpack

Kan godt være der er sket en fejl så. Det er ikke en generel ting.
Ventetiden sker ind i mellem. Men er dog blevet en del bedre, efter vi har fået udvidet "medarbejderstaben".
Gravatar #49 - loldongs
10. aug. 2005 20:45
til macpack/mekpek:

Jeg HAR allerede tippet DK-CERT og politiet!
PREBEN ANDERSEN SPARKER DIN DØR IND OM 5 MINUTTER!
Gravatar #50 - Pernicious
10. aug. 2005 20:46
#46&47

Det er korrekt at nyheden lå i vores system et stykke tid, men har bl.a. været fordi vi ville kontakte Cliche og informere dem om sagen, som nævnt tidligere i denne tråd.

Har svært ved at se at du kan blive sagsøgt for et hul som de jf. din egen udtalelse, har lukket.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login