Sicherheitslücke im Landkartenmodul

[Gast]

Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername und Passwort

[Andi]

Im Landkarten-Modul wurde eine Sicherheitslücke bekannt.
http://secunia.com/advisories/24589/

Damit wurde erstmals ein speziell für pragmaMx gecodetes Fremd-Modul/Addon ein Opfer der Hackergemeinde....
Sehr betrüblich 
Die Downloads habe ich hier auf der Seite deaktiviert und den Autor informiert.


Schnellfix:

Input passed to the "module_name" parameter in modules/Landkarte/inc/map.func.php is not properly verified before being used to include files.

Editiere diese Datei modules/Landkarte/inc/map.func.php und ändere diese Zeile:

Code: [Select]  

require_once("modules/$module_name/inc/conf.php");

wie folgt ab:

Code: [Select]  

require_once(dirname(__file__) . '/conf.php');

[xaver]

Hallo,
ist das wirklich alles, was ich falsch gemacht habe? Muss ich nur dies eine Zeile ändern und dann passts???

Also des war mein erstes PHP-Projekt und ich wusste gar nicht, dass es da Sicherheitslücken geben kann... ich dachte, dass an den Code ja eh niemand ran kommt weil der ja sofort auf m Server noch ausgeführt wird...

Also falls des alles war:
Des Fehlerchen hab ich behoben und hab des ganze Version 2.2 getauft ^^

Gibts unter **********

[JoergK]

Also des war mein erstes PHP-Projekt und ich wusste gar nicht, dass es da Sicherheitslücken geben kann...

Hier mal was als Einleitung zum Thema PHP und Sicherheit: http://www.php-faq.de/ch/ch-security.html

Und hier noch ne Seite mit Links zum Theme PHP im Allgemeinen und Speziellen. Ziemlich am Ende der Seite gibt es auch Links zu deutschsprachigen Sites: http://de.php.net/links.php

[Andi]

Hi

Bitte auch unbedingt hier lesen:
http://www.pragmamx.org/Forum-topic-16818.html

Ich habe das neue Modul jetzt grob durchgesehen.
Nach wie vor ist keinerlei Schutz gegen direktes Aufrufen der Dateien eingebaut. Habe zwar nicht getestet, ob man dadurch was anstellen könnte, aber das sollte in einem Modul auf jeden Fall vermieden werden...

Code: [Select]  

ich dachte, dass an den Code ja eh niemand ran kommt weil der ja sofort auf m Server noch ausgeführt wird

Jeder der das Script downloaden kann, der sieht den Code. Hacker schauen sich den Code dann nicht nur an, sondern suchen gezielt nach solchen Stellen und testen das aus...

Musst mal z.B. ein nettes waraxe-Advisory lesen, dann siehst du wie die Jungs vorgehen:
http://www.waraxe.us/content-cat-1.html

[Andi]

Aus gegebenen Anlass habe ich den Link zu der neuen Version ebenfalls hier unkenntlich gemacht.

Die Sicherheitslücken sind noch nicht alle behoben!!!