MyBB-Downloads waren infiziert

#1 http://www.heise.de/newsticker/meldung/MyBB-Downloads-waren-infiziert-1366230.html

Die Download-Pakete von MyBB 1.6.4 waren auf dem Server kompromittiert, bestätigen die Entwickler in einem Blog-Posting. Unbekannten Angreifern war es über eine Schwachstelle des Content Management Systems (CMS) für die MyBB-Homepage gelungen, PHP-Code einzuschleusen und auszuführen.

Damit stellten sie offenbar eine trojanisierte Version der MyBB-Software auf den Server, die eine Hintertür enthielt. Wann das genau geschah, ist nicht klar. Somit sind potentiell alle 1.6.4er-Versionen betroffen, die vor dem 6. Oktober heruntergeladen wurden. Jeder Betreiber eines MyBB-Systems sollte deshalb unverzüglich seine installierte Version checken. Zur schnellen Säuberung empfehlen die Entwickler, die Datei /index.php durch eine aus einem sauberen Download zu ersetzen und das Verzeichnis /install/ zu löschen.

Die MyBB-Entwickler diskutieren derzeit, welche Konsequenzen sie aus dem Einbruch ziehen müssen. Sie wollen unter anderem "Prüfsummen" veröffentlichen, mit denen man die Echtheit der Downloads testen kann. Das ist allerdings nicht sonderlich effizient, wenn die Angreifer den Server kontrollieren, auf dem auch die Prüfsummen hinterlegt sind. Besser geeignet wären digitale Signaturen, die sich ohne den geheimen Schlüssel nicht fälschen lassen. Der Nachteil: Digitale Signaturen für Software-Pakete prüft kaum jemand, solange es nicht ein Update-Mechanismus automatisch erledigt. (ju)

Was denkt ihr darüber?

#2

Zitat

Was denkt ihr darüber?

Kompromitierte Server sind ja heut zu Tage schon recht üblich - liegt aber meistens an den Admins selbst.
Ich benutze keine CMS Systeme, derartigen Dingen kann man nicht vertrauen außer man hat ein entsprechendes code review durchgeführt.

Insgesamt sollte man sich nicht all zu sehr auf running-out-of-the-box Software verlassen wenn man diese Software nicht selbst beurteilen kann.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode