Lücke in Newsworld beim Login | Archilles | Dienstag, 24.08.2004 12:59:25 |
Beim Aufräumen des Quellcodes habe ich ein dickes Sicherheitsloch gefunden, wie es aus einem Lehrbuch stammen könnte. Damit wird es möglich sich Zugang durchs Loginsystem zu verschaffen ohne das Passwort eines Kontos zu kennen. Betroffen sind alle Newsworld-Versionen einschließlich 1.2.0. Jedoch ist dieses Loch heute weniger gefährlich, da es sich nur ausnutzen läßt, wenn PHP auf dem Server mit "register_globals" läuft. UPDATE (25.08.04): Heute habe ich die Version 1.3.0 bereitgestellt, die dieses Loch hehebt. Es steht im Downloadbereich zur Verfügung. Seit PHP 4.2.0 ist dies per default aus. Ob Du betroffen bist, läßt sich leicht feststellen. Erstelle eine neue Textdatei mit folgendem Inhalt und speichere sie als info.php auf Deinem Server: <?php phpinfo(); ?> Rufe sie im Browser auf und schaue unter "Configuration" nach "register_globals". Wenn der linke Wert auf "off" steht, ist alles in Ordnung. Ich empfehle trotzdem ein Update auf mindestens Version 1.3.0 durchzuführen! |