. .
pragmaMx Support Forum 30 August 2008, 00:06:05 *
Willkommen Gast. Bitte einloggen oder registrieren.


 Einloggen mit Benutzername und Passwort
News:
Brauchen Sie Hilfe? Bitte nutzen Sie unsere Suchfunktion bevor Sie Beiträge oder Fragen ins Board schreiben! Viele Fragen wurden bereits gestellt und beantwortet. Danke!
 
Übersicht Hilfe Forenregeln / Boardrules
 
Suche
Seiten: [1]   Nach unten
« vorheriges nächstes »
Drucken
Autor Thema: Sicherheitslücke im Landkartenmodul  (Gelesen 20398 mal)
0 Mitglieder und 1 Gast betrachten dieses Thema.
Andi
Administrator
******
Offline Offline

Geschlecht: Männlich
Beiträge: 15.632



WWW
« am: 20 März 2007, 15:45:23 »
Im Landkarten-Modul wurde eine Sicherheitslücke bekannt.
http://secunia.com/advisories/24589/

Damit wurde erstmals ein speziell für pragmaMx gecodetes Fremd-Modul/Addon ein Opfer der Hackergemeinde....
Sehr betrüblich  gruebel
Die Downloads habe ich hier auf der Seite deaktiviert und den Autor informiert.


Schnellfix:
Zitat
Input passed to the "module_name" parameter in modules/Landkarte/inc/map.func.php is not properly verified before being used to include files.

Editiere diese Datei modules/Landkarte/inc/map.func.php und ändere diese Zeile:
Code: [Select]  
require_once("modules/$module_name/inc/conf.php");
wie folgt ab:
Code: [Select]  
require_once(dirname(__file__) . '/conf.php');
Moderator informieren   Gespeichert
schön´s Grüssle, Andi
Kein Support über PN, Mail oder ICQ!
Bitte die Fragen im Forum stellen, nur so helfen die Antworten auch den anderen Usern.
Bitte auch die Boardsuche nicht vergessen, oft ist genau dein Problem schon an anderer Stelle gelöst worden!

Auch aus Steinen, die einem in den Weg gelegt werden, kann man Schönes bauen.
Johann Wolfgang von Goethe
xaver
öfter hier
**
Offline Offline

Beiträge: 28
« Antworten #1 am: 12 April 2007, 22:38:25 »
Hallo,
ist das wirklich alles, was ich falsch gemacht habe? Muss ich nur dies eine Zeile ändern und dann passts???

Also des war mein erstes PHP-Projekt und ich wusste gar nicht, dass es da Sicherheitslücken geben kann... ich dachte, dass an den Code ja eh niemand ran kommt weil der ja sofort auf m Server noch ausgeführt wird...

Also falls des alles war:
Des Fehlerchen hab ich behoben und hab des ganze Version 2.2 getauft ^^

Gibts unter **********
« Letzte Änderung: 10 Mai 2007, 18:53:02 von Andi » Moderator informieren   Gespeichert
JoergK
Administrator
******
Offline Offline

Geschlecht: Männlich
Beiträge: 1.808
« Antworten #2 am: 13 April 2007, 00:30:46 »
Zitat von: xaver am 12 April 2007, 22:38:25
Also des war mein erstes PHP-Projekt und ich wusste gar nicht, dass es da Sicherheitslücken geben kann...

Hier mal was als Einleitung zum Thema PHP und Sicherheit: http://www.php-faq.de/ch/ch-security.html

Und hier noch ne Seite mit Links zum Theme PHP im Allgemeinen und Speziellen. Ziemlich am Ende der Seite gibt es auch Links zu deutschsprachigen Sites: http://de.php.net/links.php
Moderator informieren   Gespeichert
Gruß,
Jörg
Nobody is perfect ... so don't call me Nobody  Grin
Hier noch was zum Lesen und Lernen Wink
HTML, JavaScript & CSS: SelfHTML
PHP: SelfPHP und PHP-Handbuch
MySQL: MySQL 5.1 Handbuch
Andi
Administrator
******
Offline Offline

Geschlecht: Männlich
Beiträge: 15.632



WWW
« Antworten #3 am: 15 April 2007, 00:50:40 »
Hi Smiley

Bitte auch unbedingt hier lesen:
http://www.pragmamx.org/Forum-topic-16818.html

Ich habe das neue Modul jetzt grob durchgesehen.
Nach wie vor ist keinerlei Schutz gegen direktes Aufrufen der Dateien eingebaut. Habe zwar nicht getestet, ob man dadurch was anstellen könnte, aber das sollte in einem Modul auf jeden Fall vermieden werden...

Code: [Select]  
ich dachte, dass an den Code ja eh niemand ran kommt weil der ja sofort auf m Server noch ausgeführt wird
Jeder der das Script downloaden kann, der sieht den Code. Hacker schauen sich den Code dann nicht nur an, sondern suchen gezielt nach solchen Stellen und testen das aus...

Musst mal z.B. ein nettes waraxe-Advisory lesen, dann siehst du wie die Jungs vorgehen:
http://www.waraxe.us/content-cat-1.html
Moderator informieren   Gespeichert
schön´s Grüssle, Andi
Kein Support über PN, Mail oder ICQ!
Bitte die Fragen im Forum stellen, nur so helfen die Antworten auch den anderen Usern.
Bitte auch die Boardsuche nicht vergessen, oft ist genau dein Problem schon an anderer Stelle gelöst worden!

Auch aus Steinen, die einem in den Weg gelegt werden, kann man Schönes bauen.
Johann Wolfgang von Goethe
Andi
Administrator
******
Offline Offline

Geschlecht: Männlich
Beiträge: 15.632



WWW
« Antworten #4 am: 10 Mai 2007, 18:53:59 »
Aus gegebenen Anlass habe ich den Link zu der neuen Version ebenfalls hier unkenntlich gemacht.

Die Sicherheitslücken sind noch nicht alle behoben!!!
Moderator informieren   Gespeichert
schön´s Grüssle, Andi
Kein Support über PN, Mail oder ICQ!
Bitte die Fragen im Forum stellen, nur so helfen die Antworten auch den anderen Usern.
Bitte auch die Boardsuche nicht vergessen, oft ist genau dein Problem schon an anderer Stelle gelöst worden!

Auch aus Steinen, die einem in den Weg gelegt werden, kann man Schönes bauen.
Johann Wolfgang von Goethe
Seiten: [1]   Nach oben
Drucken
« vorheriges nächstes »
 
Gehe zu:  

Powered by SMF 1.1.5 | SMF © 2006-2008, Simple Machines LLC
design by hENNE, layout based on YAML