Blog

Wo Sicherheitsprobleme mit Open-Source-Projekten melden?

Angenommen, ihr installiert ein Script von SourceForge auf eurem Server, und beim Anpassen an euer Design stolpert ihr über Ungereimtheiten: Ein Link innerhalb des Scripts, der standardmässig in weisser Schrift auf weissen Grund dargestellt wird, und daher meist gar nicht auffällt. Mir ist er jedoch aufgefallen, und als ich draufgeklickt habe, erschien eine Unterseite, dunkelrote Schrift auf schwarzem Hintergrund, per nofollow von Suchmaschinen ausgesperrt mit äusserst misteriösem Inhalt.

Nun bekam ich den Verdacht, dass da etwas faul sein kann, und untersuchte das Script. Nur sind meine Perl-Kenntnisse zu schlecht, als dass ich rausfinden könnte, was das soll. Daher habe ich eben mal eine Mail an Heise Security geschrieben (wobei ich nicht weiss, ob die so einem Fall nachgehen), und cc an einen CCCler. Ebenso eine Nachricht im Bugtracker des Scripts, wobei ich mir da unsicher bin, ob das was bringt, könnte ja gleich wieder gelöscht werden von den Projekt-Admins, wenn die nicht wollen, dass das rauskommt.

Was würdet ihr noch machen? Ich würde das Script gerne für einen Kunden einsetzen, aber bevor diese Sache nicht aufgeklärt ist, bin ich mir äusserst unsicher.

16.11.05 | in | Tags:

20 Kommentare bisher

#1 – johannes – Nov 16, 07:00

mir fällt auf die Schnelle z.B.
http://www.securityfocus.com/ ein.

Grüße johannes

#2 Jens Kubieziel – Nov 16, 10:28

Du könntest dich zuerst an den Autor der Software wenden und ihm das Problem schildern. Wenn er innerhalb einer Frist nicht antwortet, dann gibt es Listen wie BugTraq oder Full Disclosure bei denen du dein Problem behandeln kannst.

#3 – Lalufu – Nov 16, 10:34

Magst Du uns verraten, wo man das mysterioese Stueck Software ansehen kann?

#4 Beate – Nov 16, 10:47

Ok, kann ich machen, vor allem, da der Projekt-Admin meinen Bug-Report auf “deleted” gesetzt hat, ohne einen Kommentar dazu abzugeben, das sieht mir schon verdächtig aus!

Also das Stück Software ist dada mail und die beschriebene Seite sieht z.b. so aus. Dabei wird diese Datei angezeigt, und wenn man darin ganz nach unten scrollt, sieht man komische Sachen, die ich nicht deuten kann.

#5 – Lalufu – Nov 16, 10:54

Das sind Mails. Der Inhalt ist mit rot13 verwurstet (jedes Zeichen um 13 Stellen im Aplhabet verschoben). Was die Software damit macht kann ich Dir jetzt ad-hoc nicht sagen.

#6 – Lalufu – Nov 16, 11:08

Fuer mich sieht das wie ein Testmodul in irgendeiner Form aus. Es kann nix weiter, als die in ihm definierten Mails anzuzeigen. Wirklich gefaehrlich ist das nicht, aber einen guten Grund dafuer (noch dazu, wenn das von anderen Seiten aus verlinkt ist) sehe ich auch nicht.

#7 Oarsi aka Till – Nov 16, 11:09

Ich kann Lalufu nur zustimmen, was die Verschlüsselung angeht. Im ersten Moment dachte ich es wäre vielleicht eine Art Testsystem, um zu demonstrieren wie das System funktioniert. Hier ein Link bei dem man Rot13 entschlüsseln kann.
http://rot13.de/index.php
Das was ich bisher gelesen habe war nicht wirklich schlimm. Bin aber noch nicht alles durch.
Gruß Till

#8 Beate – Nov 16, 11:13

Habt ihr mal die mail.cgi im home-Ordner so ab Zeile 199 untersucht? Da werden die Parameter ausgelesen, die dem Script übergeben werden, also in dem Fall ”/art”, aber ich weiss nicht, welcher Case hier zieht.

#9 Oarsi aka Till – Nov 16, 11:17

Mal noch was anderes: Warum nutzt Du nicht mailman? Ich bin höchst zufrieden mit dem guten Stück.

#10 Beate – Nov 16, 11:22

@Mailman: Da der Kunde nur ein Webpaket ohne Shellzugang hat – ich denke nicht daß das reicht.

#11 – Lalufu – Nov 16, 11:30

Es greift der letzte Fall. Da ist am Ende von Zeile 307 ein “unless …” in dem “art” als hex encoded ist. Mit perl kann man zwar viel schlimmere Sachen schreiben, aber das ist schon auf “das soll jetzt ein bischen unoffensichtlich sein” ausgelegt.

Benutz’ was anderes.

#12 – Lalufu – Nov 16, 11:35

Der Fall ”/art” wird dann in den letzten Zeilen von mail.cgi (6764-6778) abgehandelt, hinter einer Armee von Tabs.

Obscurity fuer Anfaenger.

#13 Beate – Nov 16, 11:40

und jibberjabber.pm startet einen Exporter, oder seh ich das falsch? Nur exportiert der wirklich die E-Mail-Adressen?

Und was ich uch nicht verstehe, warum muss man dann ”/art” verlinken, es würde doch reichen, diesen parameter einfach dranzuhängen, oder ist der Sinn davon, daß google dem Link folgt, die Seite aufruft und ein Script auslöst? In diesem Fall wäre alles klar…

#14 Oarsi aka Till – Nov 16, 11:42

Ich kann Lalufu wieder nur recht geben: Benutz was anderes, das ist extrem komisch. Auch wenn man nicht genau weiß was der Author damit will.

#15 – Lalufu – Nov 16, 11:43

Exporter ist eine Anweisung an perl. jibberjabber.pm ist ein Modul (sowas wie eine library in C), und der Exporter ist dafuer zustaendig, einige (oder alle) der in diesem Modul enthaltenen Prozeduren und Variablen an die Aussenwelt (also das das Modul benutzende Programm) weiterzugeben.
Das ist schon OK so.

#16 Oarsi aka Till – Nov 16, 11:47

Kommentier sonst den ganzen “Schmarotz” mal aus und schau ob es immer noch geht. Dank Lalufu weißt Du ja jetzt was raus muss :)

#17 Fred – Nov 16, 05:04

Hoppla, das ist aber wirklich obskur. Oberflächlich hätte ich auf Suchmaschinenspam getippt, aber dazu passt das nofollow natürlich nicht.

So sieht er übrigens aus, dein “Übeltäter”:

http://qs321.pair.com/~monkads/?node_id=6864

#18 ralle – Nov 16, 09:13

LOL, Fred, da warst Du ja investigativ unterwegs. So wie der Herr aussieht, hat der Code nichts Gutes zu bedeuten …

#19 dee – Nov 18, 01:46

Grusel.

#20 Fred – Nov 20, 12:34

Ralle, da staunsch, was. Aber du hast recht, den wollt ich auch nicht als Vermögensberater ;)

Kommentare geschlossen.

|

Suche

Meta

RSS / Atom

Archiv

CC CreativeCommons

Ich lese:

uninformation.org, Gerrit, Jens, Thomas, Oliver, jot-be, fukami und viele andere mehr...