Schlüsselloch in Piwik

März 11, 2009

Im OpenSource-Pendant zu Google Analytics “Piwik” gibt es im Bereich der automatisierten Archivierung über ein Shell-Skript einen kleinen Denkfehler, der Unbefugten über die API Zugriff auf Statistiken ermöglicht. Das Skript liegt standardmäßig im Verzeichnis piwik/misc/cron/ welches über HTTP abrufbar ist. Da in diesem Skript zur Zeit noch der geheime API-Schlüssel hinterlegt sein muss, lässt er sich über einen simplen HTTP-Aufruf auslesen. Abhilfe schafft vorerst das Verschieben des Skripts in ein Verzeichnis außerhalb des DocumentRoot-Verzeichnisses oder eine .htaccess-Datei mit der Zeile “Deny from all” im cron-Verzeichnis. Ein Ticket zu diesem Problem habe ich schon erstellt und es wird an einer allgemeinen Lösung gearbeitet.

Update (19.03.2009)

Das aktuelle Shell-Skript holt sich die Daten nun direkt aus der Konfigurationsdatei.

Kategorien
Server, Sicherheit
Tags
,
RSS Kommentare
RSS Kommentare
Trackback
Trackback

« »

One Response to “Schlüsselloch in Piwik”

  1. Sean sagt:
    März 27, 2009 um 7:03 pm

    misc/cron/archive.sh is an example shell script. If you’re going to use it, you have to edit it (your API key doesn’t just magically appear there) and relocate the file outside of the web root (otherwise it would get overwritten by an upgrade/update).

    Antworten

Leave a Reply