Liomans Blog

42 ist die Antwort – aber wie lautet die Frage?


piwik1

Sicherheitsleck bei Piwik

| 11 Comments

Nachdem ich die Software hier schon häufiger empfohlen habe muss ich heute leider eine schlechte Nachricht verkünden. Die Version 1.9.2 wurde mit ein paar Zeilen Schadcode versehen.

Laut seeseekey muss die Infektion nach 15:18 am 26. November 2012 passiert sein, denn da hat er das Update eingespielt und diese Installation ist noch nicht betroffen. Auch die Meinige ist verschont geblieben, allerdings hatte ich diese Aktualisierung auch schon lange eingespielt gehabt.

Genaue Informationen zu der Attacke gibt es im PIWIK Forum. Auf jeden Fall sollte man die eigene Installation schnellstmöglich überprüfen.

Befindet sich eine Zeile mit

in der Datei piwik/core/Loader.php hat man leider die modifizierte Version installiert. Sollte das so sein, muss man auf jeden Fall die Dateien piwik/core/DataTable/Filter/Megre.php und /lic.log löschen, denn diese wurden vom Angreifer generiert.

Am Besten löscht man aber gleich alle Dateien und installiert alles neu. Dazu kann man die die neuste latest.zip nehmen, denn diese soll sauber sein. Da aber noch nicht klar  ist wie der Code eingeschleust wurde (und ob das wieder geschen kann) ist es sicherer die Dateien direkt von github herunterzuladen, denn das Repository war nie kompromitiert.

 

Ich habe mich entschlossen diesen Artikel im UbuntuusersPlaneten erscheinen zu lassen, auch wenn er Ubuntufern ist. Die Software ist unter Bloggern doch recht beliebt und diese Backdoor kann man leider nicht mehr harmlos nennen.

Update: Artikel leicht modifiziert

flattr this!

Diesen Artikel weiterempfehlen:



11 Comments

  1. Hallo,
    Habe das gerade bei mir überprüft und kann das nicht bestätigen. Es gilt also nur ab Updatezeitpunkt X und nicht generell für alle Piwik1.9.2 Installationen.

    lg claw

  2. Die gute Nachricht ist zum derzeitigen Stand der Dinge, dass zumindest das Repository nicht betroffen ist, sondern “nur” das zum Download angebotene Paket. Bin mal gespannt was genau den Einbruch ermöglicht hat. Sofern das veröffentlicht wird.

    Den Zusatz mit Ubuntuusers-Planeten kannst du dir eigentlich sparen. Das fällt doch klar unter Punkt 2 der dort geltenden Regeln.

    • Vielleicht hätte ich ihn mir sparen können, denn Piwik ist eindeutig OpenSource. Aber Webanwendungen haben da nicht zwangsläufig auch etwas zu suchen und unter vielen Artikeln im Planeten (nicht bei mir) habe ich auch schon viele böse Kommentare gelesen. Der Planet hat und generiert eine hohe Reichweite, da sollte man sich überlegen was man da reinschiebt oder eben nicht.

      Mich interessiert auch, wie denn diese Datei auf dem Server landen konnte. Leider gibt es derzeit keinerlei Nachricht auf der Homepage direkt. Das sollte man eigentlich tun, auch wenn man noch nichts genaues weiß.

      • Ich finde schon, dass auch solche Anwendungen dort etwas zu suchen haben, da es sich um Open Source handelt, was ja laut den Betreibern erwünscht ist. Ein paar Individuen (die mit den bösen Kommentaren), die meinen es immer besser zu wissen, sollte man am besten ignorieren oder einfach mit einem RTFR (Read the f… rules) abspeisen. Aber das ist jetzt irgendwie nicht das Thema, oder? :)

        Ich denke mal, dass die Leute hinter Piwik lieber erst mal das Loch stopfen, bevor Sie etwas Ankündigen wollen. Nicht das zwischenzeitlich der Spass wieder von vorne beginnt. Ob viele der Betroffenen die Nachricht auf der Seite zeitnah mitbekommen ist eh fraglich. Für solche Fälle wäre ein Newsletter per E-Mail vermutlich sinnvoller. Aber irgendwie gibt es nur diesen normalen, der höchstens einmal im Monat erscheint, oder?

      • Also ich meinte auch eher das Blog, aber da gibt es nun auch eine Mitteilung
        Vielleicht hätte man das früher machen können und vor allen Dingen dem RSS-Feed mal ein bisschen auf die Sprünge helfen.

      • Ich finde, was irgendwo irgendwer in den Kommentaren schreibt, muss man nicht zum Anlass nehmen sich zu rechtfertigen. Es gibt klare Regeln, die wir erarbeitet haben und da steht drin, dass uns im Planeten Open-Source Themen willkommen sind. Eine Rechtfertigung, warum etwas in den Planeten ist, muss nicht unter den Text erscheinen. Wenn sich ein Blogger unsicher ist, kann sich der kurz über PN, Chat oder sonstige Kommunikationskanäle an eine/n aus dem Ikhayateam wenden.

      • Ich war mir eigentlich nicht unsicher, sondern habe mich so entschieden, wie ich mich entschieden habe.
        Trotzdem kann man seine Gedankengänge ruhig auch mal ausformulieren. Ein Rechtfertigen sollte das eigentlich nicht werden und ich hätte die Veröffentlichung bei doofen Kommentaren auch nicht zurückgenommen. (Im Zweifelsfall wird eher der Kommentar gelöscht)

      • Laut PIWIK durch ein fehlerhaftes WordPress Plugin, welches die Leute von Piwik nutzen oder nutzten. ;-)

        Auch noch wichtig:
        You would be at risk only if you installed or updated to Piwik 1.9.2 on Nov 26th from 15:43 UTC to 23:59 UTC.

  3. Also, in der aktuellen Latest.zip habe ich den Code nicht mehr gefunden. Abgerufen heute morgen um 08:00

  4. Pingback: Liomans Blog: Jahresrückblick 2012 - eigene Statistiken und Nutzersoftware

Leave a Reply

Required fields are marked *.


This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg