Kritische Schwachstelle in REDAXO 5

veröffentlicht am 8. Januar 2018

 

Im Rahmen eines Forschungsprojektes hat der Penetrationstester Patrick Hafner von der KNOX-IT GmbH eine kritische Schwachstelle in einem Core-Modul von Redaxo 5 gefunden.
Die Ausnutzung der Schwachstelle erlaubt es einem Angreifer beliebige Dateien mit den Zugriffsberechtigungen des Webservers anzuzeigen (Path Traversal).
Es wird dringend empfohlen, alle REDAXO 5.x Installationen auf die Version 5.5.1 zu akualisieren.

REDAXO ist ein freies Content-Management-System (CMS), welches umfangreiche Möglichkeiten zur Erstellung einer Webseite bietet. Es existiert seit 1999 und wird seit dem von vielen Entwicklern kontinuierlich weiterentwickelt. REDAXO ist im deutschsprachigen Raum weit verbreitet – die Anzahl der aktiven Installationen liegt laut redaxo.org momentan bei 60000. 

Bei der Überprüfung des REDAXO-CMS wurde eine kritische Schwachstelle in einem Core-Modul entdeckt. Die Ausnutzung dieser Schwachstelle erlaubt es einem Angreifer, Dateien bei bekanntem Dateipfad auszulesen (Path Traversal).
Getestet wurde die Schwachstelle mit Redaxo 5.3.0 und 5.5.0 - Es wird nicht ausgeschlossen, dass weitere Versionen betroffen sein können.

Es wird dringend empfohlen, alle REDAXO 5.x Installationen, bzw.
das media_manager Addon auf die neueste Version zu aktualisieren.

Die KNOX-IT GmbH möchte die gute Reaktion des Entwicklerteams, trotz der Feiertage, sowie die schnelle Veröffentlichung des Sicherheitspatches hervorheben.
Um allen Anwendern ausreichend Zeit zur Aktualsierung zu geben, hat sich die KNOX-IT GmbH entschlossen, den Proof of Concept erst am 08.03.2018 zu veröffentlichen.


Update: 
Heise Security hat einen Beitrag zu dieser Schwachstelle verfasst: 
https://www.heise.de/security/meldung/Redaxo-Neue-Version-5-5-1-schliesst-Schwachstelle-im-CMS-3935795.html

 

Update 08.03.2018:
Die Schwachstelle des Mediamanagers konnte in Redaxo Version 5.5.0, beziehungsweise dem verwundbaren media_manager Addon bis einschließlich Version 2.5.2 wie folgt ausgenutzt werden:
https://192.168.1.251/index.php?rex_media_type=X&rex_media_file=..\..\..\..\..\..\..\..\etc\passwd

Der Wert von rex_media_type kann beliebig gewählt werden. Der Dateipfad wird in rex_media_file übergeben, um beliebige Dateien mit den Rechten des Webservers anzeigen zu lassen. Es ist nicht erforderlich, dass Dateien im Medienpool vorhanden sein müssen. Solange das media_manager Addon bis einschließlich Version 2.5.2 aktiviert ist, ist die Seite verwundbar. Falls noch nicht geschehen, empfieht es sich, das media_manager Addon auf die neueste Version zu aktualisieren.

Disclosure timeline

28.12.2017: Entdeckung der Schwachstelle
31.12.2017: Meldung der Schwachstelle an die Core-Entwickler
05.01.2018: Veröffentlichung von REDAXO-Core 5.5.1
08.01.2018: Veröffentllichung der Schwachstelle
08.03.2018: Veröffentlichung eines Proof of Concept

 

Es wird dringend empfohlen, alle REDAXO 5.x Installationen,
bzw. das media_manager Addon auf die
neueste Version zu aktualisieren.

Rückrufservice

Rückrufservice