Aufgrund einer Schwachstelle, die kürzlich in easyLink v2.x bekanntwurde, unterziehen wir beide Softwarereihen derzeit einem ausführlichem Sicherheitscheck und in diesem Zusammenhang ist uns aufgefallen, dass 90% aller Nutzer die Installationsdateien auf dem Server belassen.

Diese Vorgehensweise stellt ein extrem hohes Sicherheitsrisiko dar, denn einem Angreifer ist es somit durch eine erneute Ausführung des Setups möglich, das ACP Passwort bzw. in der V3 den Adminaccount zu überschreiben um anschließend vollen Zugriff auf das ACP zu erhalten.

Wir empfehlen daher dringend allen Nutzern die folgenden Dateien vom Server zu löschen:

easyLink v2.4.x – easyLink v2.6.4

• acp/install.php
• acp/install-schema.php
• acp/upgrade.php
• acp/setup-config.php

easyLink v3.x

• acp/SetupCheck.php
• acp/SetupConfig.php
• acp/SetupCore.php
• acp/SetupDatabase.php
• acp/SetupIonCube.php
• acp/SetupSchema.php
• acp/SetupUpgrade.php

Um das Problem für zukünftige Installationen auszuschließen, werden wir das ACP um eine entsprechende Sicherheitprüfung erweitern, die bei vorhanden sein der entsprechenden Dateien eine Warnmeldung für dem Administrator ausgibt.