. .
pragmaMx Support Forum 23 November 2008, 14:12:56 *
Willkommen Gast. Bitte einloggen oder registrieren.


 Einloggen mit Benutzername und Passwort
News:
Brauchen Sie Hilfe? Bitte nutzen Sie unsere Suchfunktion bevor Sie Beiträge oder Fragen ins Board schreiben! Viele Fragen wurden bereits gestellt und beantwortet. Danke!
 
Übersicht Hilfe Forenregeln / Boardrules
 
Suche
Seiten: [1]   Nach unten
« vorheriges nächstes »
Drucken
Autor Thema: Sicherheitslücke und andere Bugs im Top-Modul  (Gelesen 2721 mal)
0 Mitglieder und 1 Gast betrachten dieses Thema.
Andi
Administrator
******
Offline Offline

Geschlecht: Männlich
Beiträge: 15.852



WWW
« am: 07 April 2005, 19:10:25 »
Im phpNuke Modul "Top" wurde eine neue Sicherheitslücke entdeckt. Durch eine bestimmte Parameterübergabe kann fast beliebiger SQL-Code in der Datenbank ausgeführt werden.
Weitere Info und Diskussion, hier:
http://www.nukeboards.de/index.php?showtopic=27723&hl=


Das entsprechende Modul im vkpMx/pragmaMx ist davon nicht betroffen. Dieser Übergabeparameter ist dort wirkungslos und zusätzlich erkennt das detection-System den Angriff.


Bei der Durchsicht des Moduls sind uns aber 3 kleine weitere Bugs aufgefallen.
- Das Teil ist nicht kompatibel mit php5
- ein weiteres (ganz) kleines Sicherheitsloch
- bei der Umfragen-Topliste wird die Sprachvariable nicht beachtet


Die Dateien im CVS wurden aktualisiert und zusätzlich die geänderte index.php des Top-Moduls (vkpmx 2.0-2.1.a/pragmaMx 0.1) anbei:
« Letzte Änderung: 07 April 2005, 19:14:46 von Andi » Moderator informieren   Gespeichert
schön´s Grüssle, Andi
Kein Support über PN, Mail oder ICQ!
Bitte die Fragen im Forum stellen, nur so helfen die Antworten auch den anderen Usern.
Bitte auch die Boardsuche nicht vergessen, oft ist genau dein Problem schon an anderer Stelle gelöst worden!

Auch aus Steinen, die einem in den Weg gelegt werden, kann man Schönes bauen.
Johann Wolfgang von Goethe
Andi
Administrator
******
Offline Offline

Geschlecht: Männlich
Beiträge: 15.852



WWW
« Antworten #1 am: 07 April 2005, 22:01:31 »
hmmm, weiss nicht wie, aber die Änderung mit der Spracheinstellung hatte ich vergessen reinzupacken....
Anbei das geänderte File Wink


Nochmal, dass keine Missverständnisse entstehen:
Diese veröffentlichte Sicherheitslücke, über die die Hacker versuchen einzudringen besteht in den vkpMx/pragmaMx Versionen nicht.
Das Einspielen der geändeten Dateien ist aus sicherheistsrelevanten Gründen nicht unbedingt nötig.
Moderator informieren   Gespeichert
schön´s Grüssle, Andi
Kein Support über PN, Mail oder ICQ!
Bitte die Fragen im Forum stellen, nur so helfen die Antworten auch den anderen Usern.
Bitte auch die Boardsuche nicht vergessen, oft ist genau dein Problem schon an anderer Stelle gelöst worden!

Auch aus Steinen, die einem in den Weg gelegt werden, kann man Schönes bauen.
Johann Wolfgang von Goethe
Seiten: [1]   Nach oben
Drucken
« vorheriges nächstes »
 
Gehe zu:  

Powered by SMF 1.1.7 | SMF © 2006-2008, Simple Machines LLC
design by hENNE, layout based on YAML