Autor Thema: Schwachstelle PHP-Nuke  (Gelesen 1663 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline schnuffel

  • Newsposter Spezial
  • Hero Member
  • *
  • Beiträge: 529
  • Bewertung der Beiträge: 0
  • Geschlecht: Weiblich
    • Profil anzeigen
Schwachstelle PHP-Nuke
« am: Juni 02, 2005, 18:20:23 »
Zu meiner Schande muss ich vorher gestehen, dass ich vom Programmieren keine Ahnung habe  :|, da ich hier jedoch schon öfter PHP gelesen habe, könnte diese Info vielleicht für den einen oder anderen interessant sein (?):

Schwachstelle in PHPNuke-basierten Content-Management-Systemen
Auf PHPNuke beruhende Content-Management-Systeme enthalten unter Umständen eine Sicherheitslücke, wenn sie das Datenbanklayer-Skript (sql_layer.php) des CMS vkpMx/pragmaMx einsetzen. Ein Angreifer kann durch Angabe zweier Parameter zur Anzeige von SQL-Fehlermeldungen die gesamte Datenbank ausspähen. Laut der Entwickler von pragmaMX lässt sich die Lücke ganz einfach durch die Definition der globalen Variable $mxSqlErrorDebug=0 und $mxSqlDebug=0 im genannten Skript schließen. Bei pragmaMX sei dies der Fall, nicht jedoch etwa beim Nuke-Ableger CPortal und dessen kostenloses Derivat CP-Light. 

Die CP-Entwickler haben bereits einen eigenen Hinweis zu dem Problem auf ihren Seiten und dem Support-Forum auf PHPNuke-Community.de veröffentlicht. Laut Regine Diepold vom CPortal-Team hat man ohnehin bereits vor wenigen Tagen das fragliche Skript durch ein eigenes ersetzt. Allerdings war man sich der Dringlichkeit nicht bewusst, da man von den Pragma-Entwicklern nicht über die Lücke informiert wurde. Ein Grund dafür sei wohl der zwischen den verschiedenen Teams entbrannte Streit um die Nutzung des Datenbanklayers.

Welche CMS noch betroffen sind, ist nicht bekannt. Anwender sollten sich im Zweifelsfall an den Support ihres Produktes wenden.

Siehe dazu auch:

Schwere Sicherheitslücke in verschiedenen CMS, Mitteilung von pragmaMX

http://www.heise.de/newsticker/meldung/60180

Gruss
schnuffel