Jetzt hat es den Entwickler der OpenSource-Software
phpNuke
Francisco Burzi selbst erwischt. Hacker haben eine Sicherheitslücke von phpNuke ausgenutzt und
darüber seine Webseite attackiert. Hoffentlich führt diese Attacke zu der
Einsicht, wie wichtig es ist, die vielen Lecks und Fehler dieser Software
endlich zu schließen. Denn inzwischen ist phpNuke mit Abstand das verbreitetste
virtuelle Redaktionssystem weltweit. Inzwischen ist die Version 6.5 weiter
vorangeschritten und es scheint sicher zu sein, dass in Zukunft phpNuke und die
Forensoftware phpBB enger zusammenrücken werden. Vor einiger Zeit hatten
Angreifer die Sicherheitsseite von
Bavarian Tommy
attackiert, die ebenfalls auf einem phpNuke-System basierte. Dieser hat seither
die Seite vom Netz genommen, weil es bisher keine Lösungen gibt, die
Sicherheitslücken zu schließen. Francisco Burzi scheint inzwischen erkannt zu
haben, dass er diese Sicherheitsaspekte nicht mehr vernachlässigen kann.
Angeblich hat er in letzter Zeit bei der Arbeit an Version 6.5 viel
Zeit in die Fehlerbeseitigung und in die Schließung von
Sicherheitslecks gesteckt. Doch genau in der weiterentwickelten Version haben
Hacker ein neues Loch entdeckt und haben über den anonymen Proxy (JAP) der
Universität Dresden die Webseite phpnuke.org attackiert. Nach Auskunft von
Francisco liegt der Fehler bei der Datei mailattach.php im Webmail-Modul und
stellt selbst dann eine Gefahr dar, wenn das Modul überhaupt nicht zur Benutzung
freigegeben ist. Er empfiehlt deshalb allen phpNuke-Benutzern, das Modul ganz zu
löschen oder dessen Namen abzuändern. Im Moment arbeite er an einer Lösung, um
das Loch zu schließen.
Noch vor Tagen wollte Francisco die Integration der Forensoftware phpBB2
abbrechen. Bei der Installation des Forums auf seinem Webserver zeigte es sich,
dass das System bei vielen Besuchern instabil wurde, der Fehler konnte von ihm
auch nicht lokalisiert werden. Doch das ist der Vorteil von Open-Source - was
die Entwickler nicht in den Griff bekommen, beschäftigt sofort zahlreiche
Außenstehende. So dauerte es auch nicht lange, bis das Problem von einem Dritten
gelöst wurde. Jetzt scheint fest zu stehen - die zukünftige Version 6.5 von
phpNuke wird zusammen mit phpBB ausgeliefert werden.
Etwa ein Jahr lang wurde das Projekt phpNuke von der Linux-Firma
Mandrake
gesponsort. Die direkte Unterstützung von Francisco wurde zwar schon vor einiger
Zeit eingestellt, allerdings wurde der Webserver auf dem die Domain phpNuke
liegt, von der Firma noch weiter bezahlt. Doch inzwischen ist Mandrake selbst in
Zahlungsschwierigkeiten und musste Konkurs anmelden. Auswirkungen auf die
Weiterentwicklung von phpNuke soll dies aber nicht haben, denn das Projekt steht
inzwischen komplett auf eigenen Beinen. Selbst die Webpräsenz wird inzwischen
über eingeblendete Werbung finanziert.