Hallo zusammen,
ich habe einen vServer mit SuSE 9 und Confixx Premium 2003 bei S4Y.
1.)
Bei mir sind die Dateien
/usr/local/confixx/confixx_main.conf
/srv/www/confixx/webftp.conf (oder /var/www/confixx/webftp.conf)
/srv/www/confixx/webmail.conf (oder /var/www/confixx/webmail.conf)
auf 644 gestellt, d.h. jeder User hat lesenden Zugriff auf diese Datei.
Das dumme daran ist, dass dort das MySQL-Root-Passwort in Klartext hinterlegt ist.
Und das Dümmere daran ist, dass man bei S4Y im Administrator-Bereich das Root- und MySQL-Passwort neu setzen lassen kann, wobei diese Passwörter immer identisch sind! D.h. wenn jemand das MySQL-Passwort hat, hat er auch gleich das root-Passwort. Da kann man ja nur hoffen, dass jeder nach einem Passwort-Reset die Passwörter ändert.
Minimum-Verbesserungsvorschlag: MySQL- und root-Passwort trennen und die betroffenen Dateien nicht für die gesamte Welt lesbar machen.
2.)
Eine weitere Sicherheitslücke ist auch im Administrations-Bereich vorhanden. Man kann sich nämlich seine neu gesetzten Passwörter ansehen. Daraus folgt, dass die Passwörter entweder in Klartext oder höchstens so verschlüsselt in der DB abgelegt sind, dass man sie ohne weiteres wieder entschlüsseln kann.
Hackt jemand den Administrations-Server, hat er auch gleich alle root-Passwörter von den Servern, bei denen das root-Passwort nicht per Hand geändert wurde.
Verbesserungsvorschlag: Die neu erzeugten Passwörter werden nach der Anzeige im Administrations-Bereich (mit fettem Hinweis, dass man sich die Passwörter gut merken sollte!) aus der Administrations-DB gelöscht. Wer sie vergisst, kann sie ja wieder neu setzen lassen.
Gruß
tim
ich habe einen vServer mit SuSE 9 und Confixx Premium 2003 bei S4Y.
1.)
Bei mir sind die Dateien
/usr/local/confixx/confixx_main.conf
/srv/www/confixx/webftp.conf (oder /var/www/confixx/webftp.conf)
/srv/www/confixx/webmail.conf (oder /var/www/confixx/webmail.conf)
auf 644 gestellt, d.h. jeder User hat lesenden Zugriff auf diese Datei.
Das dumme daran ist, dass dort das MySQL-Root-Passwort in Klartext hinterlegt ist.
Und das Dümmere daran ist, dass man bei S4Y im Administrator-Bereich das Root- und MySQL-Passwort neu setzen lassen kann, wobei diese Passwörter immer identisch sind! D.h. wenn jemand das MySQL-Passwort hat, hat er auch gleich das root-Passwort. Da kann man ja nur hoffen, dass jeder nach einem Passwort-Reset die Passwörter ändert.
Minimum-Verbesserungsvorschlag: MySQL- und root-Passwort trennen und die betroffenen Dateien nicht für die gesamte Welt lesbar machen.
2.)
Eine weitere Sicherheitslücke ist auch im Administrations-Bereich vorhanden. Man kann sich nämlich seine neu gesetzten Passwörter ansehen. Daraus folgt, dass die Passwörter entweder in Klartext oder höchstens so verschlüsselt in der DB abgelegt sind, dass man sie ohne weiteres wieder entschlüsseln kann.
Hackt jemand den Administrations-Server, hat er auch gleich alle root-Passwörter von den Servern, bei denen das root-Passwort nicht per Hand geändert wurde.
Verbesserungsvorschlag: Die neu erzeugten Passwörter werden nach der Anzeige im Administrations-Bereich (mit fettem Hinweis, dass man sich die Passwörter gut merken sollte!) aus der Administrations-DB gelöscht. Wer sie vergisst, kann sie ja wieder neu setzen lassen.
Gruß
tim