phpBB, Würmer und ungleiche Erwartungen

Es fing eigentlich ganz harmlos an. Am 13.11. kam eine [Mail][m1] über Bugtraq, die ein Problem im PHP-Code von phpBB erläuterte:

Because of the way urldecode and magic quotes works, it turns %2527 into %27, which is a single quote, and it leaves it unslashed. This gives you a SQL Injection, leading to arbituary PHP exec hole. But because you can’t get outside preg_replace because of magic quotes, this is very very useless.

howdark.com in der (virtuellen?) Person von Jessica Soules spricht von der Möglichkeit, SQL-Code einzuschleusen. Allerdings ist eben das nicht möglich, jeder Versuch das zu tun scheitert in einem Parse-Error in einem regulären Ausdruck. Die phpBB Group [veröffentlicht][p1] daraufhin ein Statement, in dem sinngemäßg gesagt wird, das dieser Exploit keiner ist, weil er nicht funktionieren kann.

[m1]: http://securityfocus.com/archive/1/380993/2004-11-13/2004-11-19/0
[p1]: http://www.phpbb.com/phpBB/viewtopic.php?t=239819

Das Thema schien damit vom Tisch. Bis drei Tage später eine [Mail][m2] von Paul S. Owen aka psotfx, Chef-Entwickler der phpBB Group, über Bugtraq kam. Paul schreibt, das auf Basis des Exploits-der-keiner-ist vom 13.11. eine wesentlich gefährlichere Lücke in phpBB entdeckt wurde, die mit einem kleinen [Fix][p2] sofort zu beheben sei. Ein neues Release, 2.0.11, würde so schnell wie möglich folgen. Tatsächlich [erschien][p3] 2.0.11 nur knapp zehn Stunden später.

[m2]: http://securityfocus.com/archive/1/381510/2004-11-13/2004-11-19/0
[p2]: http://www.phpbb.com/phpBB/viewtopic.php?t=240513
[p3]: http://www.phpbb.com/phpBB/viewtopic.php?t=240636

Paul veröffentlichte keinen Proof of Concept für diesen Exploit:

We will not post concept of proof information given the seriousness of this issue. Unfortunately howdark.com group have chosen to as a personal vendetta against phpbb.com.

Am 20.11. wurde auf Full Disclosure ein Proof of Concept veröffentlicht, der die Lücke vom 18.11. ausnutzt und ein Systemkommando ausführt.

Daraufhin war erstmal wieder Ruhe. Bis ich am 20.12.2004 über [dieses Topic][p4] auf phpBB.de stolperte.

[p4]: http://www.phpbb.de/viewtopic.php?t=73326

Ein Wurm nutzte die eigentlich längst gefixte Lücke und verbreitet sich sehr schnell. Dazu sucht er über Google nach anfälligen phpBB-Installationen. Daraufhin ging eine Mail an alle phpBB.de-Benutzer raus, die nochmal eindringlich darauf hinwies, so schnell wie möglich auf 2.0.11 upzudaten oder zumindest den Minimalfix - eine Zeile finden und ersetzen - durchzuführen. Kurz darauf kamen auch entsprechende Hinweise auf phpBB.com an und auch dort wurde nochmal dringlich auf das Uodate hingewiesen.

Der Rest ist [Geschichte][g1].

[g1]: http://news.google.de/news?hl=de&lr=&tab=wn&ie=UTF-8&q=phpbb&scoring=d&start=0&sa=N

Kaspersky waren am 21.12. mit die ersten, die eine entsprechende Warnung vor Santy veröffentlichten. Stilblüte: wer auch immer die im [Original][ke] englische Meldung bei Kaspersky [übersetzte][kg], tat sich mit dem Audruck *a popular package used to create Internet forums* schwer und macht daraus umständlich ein *Dienstprogramm zur Schaffung von Internet-Ressourcen* ;)

[ke]: www.kaspersky.com/news?id=156681162
[kg]: /www.kaspersky.com/de/about?chapter=146524901&id=156265786

Wie konnte es dazu kommen, das sich Santy so schnell ausbreitete? Immerhin war der Fix und die neue Version über einen Monat alt. Es geht eben *de Mensche wie de Leut*, wie man im Hessischen sagt. Weder Microsoft noch Linux noch phpBB ist gefeit vor menschlichen Unzulänglichkeiten. Kümmert man sich nicht aktiv um sein System, pflegt es nicht, muss so etwas zwangsweise passieren. Darüber wurde schon lang und breit geschrieben und diskutiert. Seit den Anfängen der IT ist dieses Problem bekannt — und jede Lösungsmöglichkeit schließlich am Faktor Mensch gescheitert. Eine andere Redensart sagt: *Alle wollen Restore, aber keiner will Backup.* Same shit, different day. [Calgone und Veet][ccc] können ein Lied davon singen ;)

[ccc]: http://21c3.ccc.de/weblog/2004/12/29/decement-und-hacklisting-in-21c3-wiki/

Dazu kommt, das eine große Zahl mehr oder weniger toter Foren gibt, die zwar noch online sind, aber schon seit Monaten nicht mehr genutzt werden. Gerade bei kostenlosen Hostern wie Lycos oder Funpic (einfach nur um zwei Namen zu nennen) gibt es Heerscharen solcher verwaister Foren.

Und als ob das alles noch nicht reichen würde, gibt es auch genug Hoster, die ihren Kunden verbieten, in die Serverkonfiguration einzugreifen. Ich spreche von .htaccess, nicht von Root-Zugang. Und selbst wenn man per .htaccess den DirectoryIndex setzen darf, heißt das lange nicht, das man mod_rewrite nutzen darf. Ergo: hast Du ernsthaft etwas im Web vor, gehe nicht zu einem Hoster von der Stange, sondern besorg Dir einen eigenen Server und jemanden, der ihn warten kann, wenn Du es nicht kannst. Managed Server fallen also genauso durch wie Webspace-Pakete.

[Und wo wir schon mal dabei sind][p5]: nur weil man phpBB runterladen, entpacken, raufladen und installieren kann, heisst das nicht, das man es im Griff hat, geschweige denn warten kann. Ohne die Bereitschaft zu lernen und sich mit dem Thema zu beschäftigen sollte man sich und der Welt einen Gefallen zun und die Finger davon lassen. Um Auto zu fahren muss man zwei Tests bestehen, um *Administrator* zu sein nicht. Dank sehr einfacher Möglichkeiten für [Self Publishing][sp] sehen viele Hobby-Administratoren einfach nicht die Notwendigkeit, sich um technische Aspkete zu kümmern und schieben die Verantwortung dem Hersteller zu. Der hat jedoch nur wenig Möglichkeiten, Unachtsamkeiten oder Vernachlässigungen seitens der Administratoren auszugleichen. Ein Update herausgeben, seine Nutzer informieren und beim Update unterstützen, viel mehr kann man als Hersteller nicht tun. Nur wenige haben die Möglichkeit, mittels automatischer Updates seine Kunden mit Patches zu versorgen. Bei Web-Applikationen,vor allem bei solchen, die in Interpreter-Sprachen geschrieben sind, der Kunde also schon mit einem einfachn Texteditor Änderungen vornehmen kann, hilft ein automatischer Update-Mechanismus nur wenig. Software, die *nach Hause telefoniert* wird außerdem oft überkritisch beäugt und, so man denn die Wahl hat, lieber nicht eingesetzt. Für phpBB heißt das konkret, das 2.2 keine automatische Updatefunktion haben wird, wahrscheinlich aber einen Versionsabgleich. Statt den Kunden zu zwingen, zum Hersteller zu gehen, [kommt der Hersteller also zum Kunden][p6].

[p5]: http://www.phpbb.de/viewtopic.php?p=412475#412475
[p6]: http://www.phpbb.de/viewtopic.php?p=413206#413206

Denn auch wenn es zum Beispiel bei Sourceforge, dem Hoster des phpBB-Quellcodes, eine Mail-Funktion gibt die neue Releases anzeigt, oder man das Ankündigungsforum von phpBB.de [per RSS][rss] abonnieren kann, scheint selbst das für 90% aller Kunden zuviel Aufwand zu sein.

[sp]: http://www.itst.org/web/280-selfpublishing.shtml
[rss]: http://www.phpbb.de/rdf/rdf-news.php

Ihren Teil zur Verbreitung haben auch einige kostenlose Forenhoster beigetragen, die teilweise noch mit 2.0.6 unterwegs waren. Als ob es nicht genügen würde, das wir den Support für die Jungs übernehmen müssen, weil sie direkt auf phpBB.de als *Supportforum* verweisen. Get lost.

Update: Völlig vergessen zu erwähnen: [Alp][] hat mich Anfang der Woche zum Thema [kurz-interviewt][a1]. Dort sind auch viele (alle?) Stimmen aus der deutschen Blogszene zum Thema Santy zu finden.

[Alp]: http://uckan.info/
[a1]: http://uckan.info/2004/12/27/interview-zum-aktuellen-php-wurm-santy/