Bei heise.de findet sich seit heute ein neuer Artikel:
PHPNuke lässt sich die Datenbank manipulieren
In
Content-Management-Systemen, die auf PHP beruhen, finden sich immer
dieselben Schwachstellen: SQL-Injection, Cross-Site-Scripting und
File-Inclusion. Erstere ist gleich mehrfach im Download- und
Weblinks-Modul der aktuellen Versionen von PHP-Nuke enthalten.
Maksymilian Arciemowicz hat dazu zwei Advisorys veröffentlicht und auch
gleich Vorschläge gemacht, wie man die Fehler behebt. Einen offiziellen
Patch gibt es bislang noch nicht
Siehe dazu auch:
*
phpnuke 7.6 Multiple vulnerabilities in Web_Links Module von Maksymilian Arciemowicz
*
phpnuke 7.6 Multiple vulnerabilities in Downloads Module von Maksymilian Arciemowicz
Da beide Module auch in vkpMx/pragmaMx enthalten sind, haben wir das kurz geprüft....
Alle Lücken bestehen nicht im vkpMx/pragmaMx oder werden zumindest von dem detection System abgefangefangen. Zudem funktionieren die dort angegebenen SQL-Injections nur, wenn in der PHP-Konfiguration die Option "magig_quotes_gpc" abgeschaltet ist, was sowieso für phpNuke eine Sicherheitslücke ist (nicht im mX).
Ausser dem kleinen Problem mit "path disclosure".
Diese Fehlermeldung kann man leider auch in unseren Modulen provozieren.
Zur Sicherheit haben wir die beiden Module etwas überarbeitet und bereits im CVS aktualisiert.
Da für pragmaMx 0.1 sowieso ein kleiner Fixpack für die bisher aufgetretenen Fehlern geplant ist, werden wir diesen bereits in den nächsten Tagen zum Download bereitstellen.
Ebenso für die vkpMx Module....
Danke an
larsneo vom Postnuke Team für die Mitteilung
pragmaMx Support Forum
