Das Internet ist bunt, schillernd und informativ. Doch es ist auch
Feindesland, und erbarmungslos mit dem, der nicht hinter die Fassade
schaut. Waren es vor Jahren noch zerstörerische Viren und spionierende
Trojaner, die unbedarfte User um ihre Daten brachten, sind es heute
Searchbots, Email-Adressen-Sammler und anderes nicht-destruktives
Ungeziefer, das Webmastern das Leben schwer macht.

Im Rahmen des Supports von pragmaMx, wurden wir auf eine Angriffsmöglichkeit im enthaltenen Spaw-Editor aufmerksam gemacht. Diese potentielle Sicherheitslücke betrifft die Versionen von pragmaMx ab Release 0.1.6. Allerdings kann diese Schwachstelle von einem potentiellen Angreifer nur dann ausgenutzt werden, wenn der Editor vorher durch den Systemadministrator noch nie konfiguriert worden ist.

Bei Systemen die bereits in Betrieb sind, in denen der Editor für den Betrieb konfiguriert wurde und der Editor auch einwandfrei funktioniert, sollte diese Lücke nicht zu nutzen sein. Dennoch raten wir dringend dazu, den Editor upzudaten.

- Link zum Download

Dieser Sicherheitsfix wird in die aktuellen Downloadpakete von pragmaMx einfliessen. Um Ihr System immer "up to Date" zu halten empfehlen wir pragmaMx nur mittels unserer offiziellen Downloadangebote zu installieren oder upzudaten. So können Sie sicher sein immer die aktuellste Version zu erhalten.

Heute kam ich aus dem Lachen fast garnicht mehr raus Da schreibt mir einer der sich Admin einer größeren Firma schimpft, dass er innerhalb von 5 Minuten ein PragmaMx 0.1.6 lahmlegt.

---

Zitat

PS: @ Xxxx .... wenn ich so ein offenes System hätte, das von jedem Anfänger in 5 Minuten lahm zu legen ist, würde ich nicht die Welle machen ... Vorsicht mit Deinen Drohungen ... sonst kommt ne Menge Arbeit auf Dich zu .... 

---

Ich habe ihm höflich aber bestimmt erklärt das er nun 24 Stunden Zeit hat mir zu beweisen das er Recht hat. Er hat auch gleich angefangen und mittlerweile wohl entnervt aufgegeben

Wie wir soeben feststellen mussten, wird durch den Einsatz des Datenbanklayers (sql_layer.php) unseres CMS vkpMx/pragmaMx, in anderen phpNuke ähnlichen Systemen eine schwere Sicherheitslücke aufgetan.

In unserem Script ist es möglich sämtliche sql-Anweisungen, die zur Generierung der HTML-Ausgabe benötigt werden, zur Fehleranalyse direkt in der HTML-Ausgabe mit anzuzeigen.
Weiterhin ist es möglich, sämtliche sql-Fehlermeldungen auf Wunsch anzeigen zu lassen.
Dies wird durch zwei globale Variablen gesteuert, die im Konfigurationsmenü von vkpMx/pragmaMx, verändert werden können.

Diese Variablen sind nur in der Umgebung des vkpMx/pragmaMx definiert. Durch den in phpNuke-Systemen üblichen pauschalen Import der Requestvariablen, selbst bei der Einstellung register_globals=OFF, können diese Variablen direkt an das Script gesendet werden. Dies bewirkt, dass jeder Besucher durch simple Übergabe der entsprechenden Variablennamen in der URL sämtliche sql-Anweisungen und selbst provozierte sql-Fehlermeldungen anzeigen lassen kann.