Ein Security-Post wie dieses hat natürlich immer einen Grund.

Der Grund wird aber erst verraten, wenn eine, in diesem Fall wirklich dicke Lücke gefixt wurde, der zuständige Entwickler Kontakt mit mir aufgenommen und dann auch alle anderen Gelegenheit bekommen sollen, diese Lücke schnellsten zu fixen bzw. das Security-Update aufzuspielen.

In einem Security-Review der Software Feed2js habe ich eine Lücke gefunden, mit deren Hilfe es möglich war unter bestimmten Voraussetzungen (die man sich als Hacker oder in dem Fall White Hat allerdings selber schaffen konnte) Schadcode (z.B. in Form eines PHP-Scripts) auf den angegriffenen Server zu laden und auszuführen.

Einige unglückliche Umstände die ich entdeckt haben, machten das extrem einfach.

So lieferte die Software von Hause aus ein Cache-Verzeichnis mit, das für den Benutzer des Webservers natürlich beschreibbar war und auch noch über eine URL aus dem Internet erreichbar war.

Sodann musste man nur noch rausfinden, wo sich das cache-Verzeichnis physikalisch auf dem Server befand, um den Schadcode an diese Stelle zu laden.

Auch dafür lieferte das Software-Bundle ein Script mit. Durch eine Fehlerausgabe, die man in dem debug-Script provozieren konnte, wurde der exakte Path auf dem Server kekannt.

Ich habe den Entwickler darüber informiert (war nicht so einfach, weil er keine E-Mail Adresse angegeben hat), er nahm Kontakt mit mir auf und fixte die Lücke innerhalb von wenigen Minuten. Respekt!

Jetzt ist also wieder alles gut.