Nutzer des EllisLab CMS „Expression Engine“ 2.9.0 oder älter sollten zeitnah ein Update auf die Version 2.9.1 bzw. 2.9.2 durchführen, um eine gefährliche Sicherheitslücke zu schließen. Diese ermöglicht einem angemeldeten Benutzern eine SQL-Injektion auszuführen, womit sich Login-Daten, also Benutzernamen und die Passwort-Hashes, von der Datenbank abgreifen lassen

Was ist eine SQL-Injektion?
Eine SQL-Injektion ist die Einschleusung von SQL-Befehlen, um wichtige Daten abzugreifen oder die Datenbank und damit das CMS (Content-Management-System) zu übernehmen. In diesem Fall geschah das Ausspähen der Login Daten durch das Senden manipulierter POST-Daten an eine anfällige PHP-Datei.

Einen ausführlichen Einblick in diese Thematik finden Sie im folgenden Video-Material von SemperVideo:

Wie kritisch ist diese Sicherheitslücke?
Durch die Ausnutzung dieser Schwachstelle lassen sich die Login Daten abgreifen. Da das Passwort aber üblicherweise durch eine Hash-Funktion für den Angreifer unleserlich gemacht wurde, ist bei besonders starken Passwörtern davon auszugehen, dass bei schneller Reaktion das CMS noch rechtzeitig auf den neusten Stand gebracht werden kann und die Passwörter geändert werden können.

Was lässt sich dagegen unternehmen?
Gegen diese und andere Sicherheitslücken hilft regelmäßiges updaten. Die gefixte Version 2.9.1 erschien bereits vor einem Monat. Somit verblieb genug Zeit zur Aktualisierung bis zur Detaillierten Bekanntgabe der Lücke.
Eine weitere vernünftige Maßnahme ist die Verwendung von starken Passwörtern. Erfahrene Nutzer können in diesem Zusammenhang auch eine Verbesserung an dem Hashvorgang Vornehmen um den Aufwand der Entschlüsselung der Hashes zu erhöhen. So lässt sich zum Beispiel das Passwort einfach mehrfach hintereinander Hashen, oder mit weiteren Hash-Algorithmen kaskadieren. Somit kann im Ernstfall wertvolle Zeit gewonnen werden.
Ebenfalls sind regelmäßige Bakups aller Inhalte vom Vorteil, falls das CMS kompromittiert wurde.

Quellen:
https://www.portcullis-security.com/security-research-and-downloads/security-advisories/cve-2014-5387/
https://ellislab.com/blog
http://glossar.hs-augsburg.de/SQL_Injection

CMS: Sicherheitslücke in EllisLab Expression Engine ermöglicht auslesen von Authentifizierungsdaten über eine SQL-Injektion