Beim CMS Anchor sitzt das Datenbank-Passwort locker

Das Content Managment System (CMS) Anchor weist eine Schwachstelle auf: In der Standardeinstellung könnte theoretisch jedermann öffentlich die Zugangsdaten der MySQL-Datenbank einsehen. Davor warnt der Sicherheitsforscher Tijme Gommes auf Twitter.

Ihm zufolge speichert das CMS in der Error-Log-Datei neben Fehlern unter Umständen auch den Benutzernamen und das Passwort für die Datenbank im Klartext. Aber es kommt noch schlimmer: Standardmäßig kann im Grunde jeder über die URL der Webseite mit der Erweiterung „/anchor/errors.log“ darauf zugreifen.

Die unverschlüsselten Zugangsdaten landen etwa im Log, wenn sich gleichzeitig zu viele Verbindungen zur Datenbank aufbauen – eine durchaus realistisches Szenario. Dann kommt es zu einem Fehler und neben diesem landen eben auch die Daten im Log. Stichproben von Sicherheitsforschern zufolge ist das bei hunderten Webseiten der Fall.

Gommes will die Schwachstelle nicht dem Anchor-Team melden. Er sieht Webseiten-Admins in der Pflicht, den öffentlichen Zugriff auf die Error-Log-Datei zu unterbinden. Das gelingt beispielsweise über die htaccess-Datei.

Eine Stellungnahme der Entwickler steht derzeit noch aus. Ein Patch ist wünschenswert, schließlich sollten Zugangsdaten niemals irgendwo unverschlüsselt liegen.

2018-02-20T13:25:38+00:00