Das Server-Adminpanel Froxlor hat eine kleine Schwachstelle entdeckt, die es Angreifern erm\u00f6glichen k\u00f6nnte, deinen Server zu \u00fcbernehmen. Und das wollen wir nat\u00fcrlich nicht! Die Funktion zur Anzeige fehlgeschlagener Login-Versuche ist hier der \u00dcbelt\u00e4ter. Wenn ein schlaues K\u00f6pfchen mit Javascript-Kenntnissen unterwegs ist, kann er seine eigenen Skripte einschleusen, die dann vom Browser des Server-Admins ausgef\u00fchrt werden k\u00f6nnen. Das ist so, als w\u00fcrde der Angreifer quasi in der Haut des Admins stecken. Gruselig, oder?<\/p>\n
Ein findiger Entwickler hat sogar bewiesen, dass er auf diese Weise gef\u00e4lschte Administrator-Konten erstellen kann. Da kann man schon verstehen, warum das Froxlor-Team diese Sicherheitsl\u00fccke als kritisch eingestuft hat. Sie hat einen CVSS-Punktwert von 9,7 bekommen. Das ist ziemlich hoch auf der Skala der „Oh, das ist gar nicht gut“-Bewertungen. Die L\u00fccke wurde mit der sch\u00f6nen Bezeichnung CVE-ID CVE-2024-34070 versehen. Betroffen sind alle Froxlor-Versionen vor 2.1.9. Aber keine Sorge, in der neuesten Version wurde das Problem bereits behoben. Wenn du also noch auf einer \u00e4lteren Version unterwegs bist, wird es Zeit f\u00fcr ein Update!<\/p>\n
Die Jungs und M\u00e4dels vom Froxlor-Team sind nat\u00fcrlich keine Hackerg\u00f6tter, sondern nur Menschen wie du und ich. Aber sie haben schnell reagiert und einen Patch bereitgestellt, um das Problem zu l\u00f6sen. Also bitte, installiere den Patch so schnell wie m\u00f6glich, um unn\u00f6tige Risiken zu vermeiden. Die Entwickler haben auf GitHub eine detaillierte Erkl\u00e4rung zu dem Fehler und seiner Ursache ver\u00f6ffentlicht. Das ist wirklich vorbildlich!<\/p>\n
Es ist interessant zu wissen, dass Froxlor die externe Bibliothek „anti-xss“ verwendet, um Nutzereingaben zu filtern und b\u00f6se Buben fernzuhalten. Aber leider konnte diese Bibliothek durch einen speziell erstellten Javascript-Block umgangen werden. Das ist so, als w\u00fcrde man den T\u00fcrsteher bestechen, damit er einen reinl\u00e4sst. Nicht cool!<\/p>\n
Froxlor ist eine Software, die dir eine benutzerfreundliche webbasierte Verwaltung von Linux-Servern erm\u00f6glicht. Das ist besonders praktisch f\u00fcr kleine Webhoster oder Agenturen, die Hosting-Konten anbieten m\u00f6chten. Froxlor ist eine kostenlose Alternative zu kommerziellen L\u00f6sungen wie Plesk. Und wir alle wissen, dass kostenlose Alternativen oft sehr beliebt sind. Aber man sollte immer ein Auge auf die Sicherheit haben.<\/p>\n
Es ist \u00fcbrigens fast ein Jahrzehnt her, seit Froxlor zuletzt eine ernsthafte Sicherheitsl\u00fccke hatte. Damals konnten Angreifer aus der Ferne Datenbankpassw\u00f6rter auslesen. Das klingt nicht gerade nach einem guten Tag f\u00fcr Froxlor. Aber hey, das Froxlor-Team hat damals schnell reagiert und einen Patch bereitgestellt. Und das tun sie jetzt auch wieder. Das gibt einem doch wieder ein bisschen mehr Vertrauen, oder?<\/p>\n
Wir hoffen, dass Froxlor auch in Zukunft seine Sicherheitsvorkehrungen weiter verbessert, um m\u00f6gliche Angriffsfl\u00e4chen zu minimieren. Sicherheit ist schlie\u00dflich das A und O, wenn es um Server geht. Also, liebe Froxlor-Nutzer, bleibt wachsam und installiert die Patches. Und denkt daran, dass ihr auch immer ein bisschen Verantwortung f\u00fcr eure eigene Sicherheit tragt. In diesem Sinne: Happy Server-Adminning!<\/p>\n
Schlagw\u00f6rter: Froxlor + CVE-2024-34070 + GitHub<\/p>\n","protected":false},"excerpt":{"rendered":"
Das Server-Adminpanel Froxlor hat eine kleine Schwachstelle entdeckt, die es Angreifern erm\u00f6glichen k\u00f6nnte, deinen Server zu \u00fcbernehmen. Und das wollen wir nat\u00fcrlich nicht! Die Funktion zur Anzeige fehlgeschlagener Login-Versuche ist hier der \u00dcbelt\u00e4ter. Wenn ein schlaues K\u00f6pfchen mit Javascript-Kenntnissen unterwegs ist, kann er seine eigenen Skripte einschleusen, die dann vom...<\/p>\n","protected":false},"author":4,"featured_media":7787,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-7788","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/7788","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=7788"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/7788\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/7787"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=7788"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=7788"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=7788"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}