pragmaMx Support Forum pragmaMx Support Forum

SMS Modul [ WARNUNG]

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline DarkBoy

  • *******
  • 4.788
  • +0/-0
SMS Modul [ WARNUNG]
« am: 08 Juli 2004, 00:42:37 »
Hi all,

diese Meldung ist nicht in der gewohnten Art der Meldung eines Sicherheitsloches,wie ihr es gewöhnt seid von uns.

Wir möchten einen Hinweis geben dass es in dem SMS-Nuke-MX Modul ein gravierendes Problem gibt.
Die Frage ob dies ein Sicherheitsloch oder eine Backdoor ist, lässt sich zur Zeit noch nicht bestimmen.

Wir sagen dieses gewillt um allgemeine Fragen abzudecken.
Ihr könnt Euch sicher sein, dass wir vom Team, alles eingegrenzt haben und an verschiedenen Tests arbeiten.
Wir möchten keine genauen Informationen liefern, da wir gerade an dem Problem arbeiten aber uns ist bekannt WAS  möglich ist, durch Meldung von Usern!

Unser Team teilt mit, dass dieses Modul nicht dem Mx Zertifikat unterliegt und von uns auch nicht als MX tauglich getestet wurde.

Wir bitten Euch, bis zu einem solchen Zertifikat, recht vorsichtig mit diesem Modul umzugehen wenn möglich sogar zu deaktivieren..

Wir sind Dankbar für jeden TIP aber wenn ihr es nutzt dann Vorsicht, nicht auf den Versand aber auf alles andere!

[Editiert am 7/7/2004 von DarkBoy]

Offline akhan

  • ***
  • 212
  • +0/-0
Re: SMS Modul [ WARNUNG]
« Antwort #1 am: 08 Juli 2004, 10:11:06 »
Danke Darky,

ich installiere sowieso nicht solche fragwürdige Module. Danke aber trotzdem.

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
Re: SMS Modul [ WARNUNG]
« Antwort #2 am: 08 Juli 2004, 10:29:41 »
 
Zitat
ich installiere sowieso nicht solche fragwürdige Module


yep, die richtige Einstellung ;)
schön´s Grüssle, Andi

Offline DarkBoy

  • *******
  • 4.788
  • +0/-0
Re: SMS Modul [ WARNUNG]
« Antwort #3 am: 08 Juli 2004, 10:39:54 »
Jep, auch von mir die Zustimmung das es so die richtige Wahl ist.
Ein ganz wichtiger PUNKT für die Entscheidung nicht alle Module zu nutzen ist: WENN ein Modul E.T spielt , sollte man sehr genau überlegen dieses einzusetzen.

Offline NeMeSiSX2LC

  • *******
  • 3.604
  • +0/-3
  • Geschlecht: Männlich
Re: SMS Modul [ WARNUNG]
« Antwort #4 am: 08 Juli 2004, 10:45:25 »
Was spielt?
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

Offline _Gerry_

  • *******
  • 1.366
  • +0/-0
  • Geschlecht: Männlich
Re: SMS Modul [ WARNUNG]
« Antwort #5 am: 08 Juli 2004, 14:08:44 »
E.T. - Will nach HAUSE TELEFONIEREN ;)
CMS-Version: pragmaMx 0.1.11, 1.33.2.12.2.9/2009-05-10   
PHP-Version: 5.2.0-8+etch5~pu1
MySQL-Version: 5.0.32-Debian_7etch1
Server-Version: Apache/2.2.3 (Debian) mod_ssl/2.2.3 OpenSSL/0.9.8c

Offline NeMeSiSX2LC

  • *******
  • 3.604
  • +0/-3
  • Geschlecht: Männlich
Re: SMS Modul [ WARNUNG]
« Antwort #6 am: 08 Juli 2004, 14:16:03 »
Axo
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
Re: SMS Modul [ WARNUNG]
« Antwort #7 am: 15 Juli 2004, 17:00:51 »
Nachtrag:

Die Kollegen von nukeboards.de und wir,  haben versucht das Problem zu reproduzieren, es ist gelungen. Fest steht es gibt ein Sicherheitsproblem in diesem Modul.

Eine öffentliche Anleitung zum Nachbau der Lücke werden wir aus gutem Grund nicht veröffentlichen. Wir können aber behaupten dass es bei mehreren lokalen Installationen problemlos möglich war die Datenbank (nahezu) beliebig zu manipulieren.

Vom Einsatz dieses Moduls muss daher unter den gegeben Umständen dringend abgeraten werden. Aufgrund des gesagten ist es im ungünstigsten Fall möglich die komplette Datenbank zu übernehmen!

Siehe dazu auch: Thread auf nukeboards.de
schön´s Grüssle, Andi

Offline smartmusic

  • *******
  • 1.269
  • +1/-0
  • Geschlecht: Männlich
Re: SMS Modul [ WARNUNG]
« Antwort #8 am: 15 Juli 2004, 17:08:54 »
welches sms modul denn?

jubilee

Re: SMS Modul [ WARNUNG]
« Antwort #9 am: 15 Juli 2004, 18:24:27 »
Hallo !
 
Zitat
welches sms modul denn

das von smsnuke.de
Wir werden das im Auge behalten und gegebenenfalls
Entwarnung geben (sobald eine Modulversion ohne diese Lücke)erscheint . Solange wie diese Lücke jedoch besteht werden wir das Modul hier auch nicht in die Downloads stellen.
Wer das Modul dann doch installieren möchte, findet es auf der Homepage des Autors. Von unserer Seite in diesem Fall aber kein Support !!
MfG
jubilee


xyox

Re: SMS Modul [ WARNUNG]
« Antwort #10 am: 15 Juli 2004, 18:25:15 »
@ smartmusic

na sms_send,  den gefällt das auto-update nicht , wissen sicherlich nicht das man das auch abschalten kann ...

Gruss XYOX
http://www.smsnuke.de

[Editiert am 15/7/2004 von xyox]

xyox

Re: SMS Modul [ WARNUNG]
« Antwort #11 am: 15 Juli 2004, 18:27:14 »
@jubilee

Hallo, dann sagt uns doch mal ganz genau was euch nicht gefällt, ( php .. zeile )  wir können doch darüber reden.. aber wenn wir nicht wissen was ihr gern geändert haben möchtet können wir natürlch die auc nicht machen.

Gruss Steffen
 http://www.smsnuke.de

jubilee

Re: SMS Modul [ WARNUNG]
« Antwort #12 am: 15 Juli 2004, 18:27:15 »
Hallo !
 
Zitat
na sms_send, den gefällt das auto-update nicht , wissen wa hrscheinlich nicht das man das auch abschalten kann ...

NEIN !!
Es geht hier definitiv schon lange nicht mehr um das Auto-Update.
Es ist ein viel größeres Problem in dem Modul.
MfG
jubilee

[Editiert am 15/7/2004 von jubilee]

jubilee

Re: SMS Modul [ WARNUNG]
« Antwort #13 am: 15 Juli 2004, 18:31:08 »
Sorry ?
Kennt Ihr euer eigenes Modul so schlecht ?
Es geht in Verbindung z. B. mit der smsserver.php darum, dass man direkt funktionen in der Klassenbibliothek aufrufen kann und damit die komplette Datenbank modifizieren kann. Und wirklich die komplette Datenbank.Nicht nur eure Tabellen. Wir haben das auf X installationen bei uns getestet. Ist Euch das etwa selbst noch nicht aufgefallen?
Da wäre ich jetzt aber sehr erstaunt, da der Rest des Moduls recht professionell ist.
MfG
jubilee


[Editiert am 15/7/2004 von jubilee]

xyox

Re: SMS Modul [ WARNUNG]
« Antwort #14 am: 15 Juli 2004, 18:34:01 »
 smsserver.php ist schon lange nicht mehr im Download enthalten, war auch nur temporär

... warum steht da :
http://www.smsnuke.de/modules.php?name=News&file=article&sid=13

also das kann es ja wohl auch nicht sein ?

Gruss Steffen
 http://www.smsnuke.de

APSCOM

Re: SMS Modul [ WARNUNG]
« Antwort #15 am: 15 Juli 2004, 18:44:00 »
Ja Ja....

Mitleid kriegt man ja bekanntlich geschenkt...

 NEID muss man sich hart erarbeiten...

Respekt an XYOX


MfG
APSCOM

jubilee

Re: SMS Modul [ WARNUNG]
« Antwort #16 am: 15 Juli 2004, 18:58:23 »
Leute
 
Zitat
smsserver.php ist schon lange nicht mehr im Download enthalten, war auch nur temporär
 

Heut vormittag war sie noch drinne.
@APSCOM: Ich kenne Deine Verflechtungen mt xyox. Bitte beleidige doch nicht unseren Intellekt.
Das was da gemacht worden ist, ist ja wohl ganz eindeutig. Hier wurde gezielt ein Script auf den Webspace des Kunden gelegt, mit dem dessen gesammtes System ausspioniert werden kann. Das nur Euer Server und der Client den MD5-Key kennt ist ja wohl keine richtige Sicherheit. Mit welcher Begründung soll ich als Kunde denn Euch mein   gesammtes System offenlegen ? Warum sollte ich Euch soweit vertrauen ?
In Eurer Dokumentation war jedenfals nix zu lesen davon.
Und ich rede jetzt noch nicht von der Auto-Update - Funktion, die auch das halbe System des Kunden offenlegt.
Womit, glaubt Ihr, habt Ihr soviel Vorschußvertrauen verdient ?
jubilee

[Editiert am 15/7/2004 von jubilee]

xyox

Re: SMS Modul [ WARNUNG]
« Antwort #17 am: 15 Juli 2004, 18:59:39 »
 
Zitat
Es geht in Verbindung z. B. mit der smsserver.php darum, dass man direkt funktionen in der Klassenbibliothek aufrufen kann und damit die komplette Datenbank modifizieren kann. Und wirklich die komplette Datenbank.Nicht nur eure Tabellen.


ok, wir köntet die ja änder in der Form:
  [präfix]_sms_[tablename]

das heisst wir können _sms_  fest veranken, damit würde da modul nur noch auf die eigenen Tabels zugreifen.

Gruss Steffen
http://www.xyox.de

Offline RiotheRat

  • *******
  • 1.956
  • +0/-1
  • Geschlecht: Männlich
Re: SMS Modul [ WARNUNG]
« Antwort #18 am: 15 Juli 2004, 19:16:55 »
Moin,

geht es jetzt hier weiter nachdem bei Nukeboards alle Threads zu diesem Thema gesperrt / entfernt wurden?

Und das hier
Zitat
Ja Ja....

Mitleid kriegt man ja bekanntlich geschenkt...

NEID muss man sich hart erarbeiten...

Respekt an XYOX


MfG
APSCOM
muss man sich hart erarbeiten. Respekt haben meinerseits die Mannen vom MX-Team, Jens, Hinrich und noch ein paar Highlights der deutschsprachigen Scene ... aber kein Modulautor der entweder schlampigen Code schreibt und so mein System gefährdet oder schlimmer noch bewusst Schnittstellen zu meinem System herstellt und dies im schlimmsten Fall sogar übernehmen kann.

Wir haben nicht umsonst eine Nacht lang drüber gesessen und das Teil abgeklopft nachdem Userseitig Verdachtsmomente geäussert wurden. Wir können uns in unserer Freizeit auch besseres vorstellen.

Im übrigen stehe ich immer noch voll und ganz hinter dem was ich bei Nukeboards gesagt habe ... so wie das Modul im Moment aussieht würde ich es nicht einsetzen.

RtR
Unaufgeforderte PNs & Emails werden ignoriert

Erst wenn die letzte Zeile Code verhunzt, der letzte Server gehackt und der letzte Script-Kidde befriedigt ist, erst dann, werdet Ihr feststellen, dass Nuke nicht sicher ist...

Offline BowlingX

  • *******
  • 2.342
  • +0/-0
  • Geschlecht: Männlich
Re: SMS Modul [ WARNUNG]
« Antwort #19 am: 15 Juli 2004, 19:46:59 »
Ich kann es nicht mehr ganz glauben! Merkt ihr xyox und APSCOM nicht das ihr unseren Fragen immer ausweicht, mit irgendwelchen unsinnigen Codebeispielen rumfuchtelt, die ganze Sache aber weder einseht noch irgendetwas daran verändert!

Ich hatte euch bei nukeboards schon ein konkretes Beispiel gegeben wie man einen Online Updater schreiben kann, ohne auf Sicherheit verzichten zu müssen...oder: Wenn ihr auf den automatismus beruht warum verwendet ihr keinen integrierten FTP Client und ladtet damit Updates herunter, das ist weitaus sinnvoller.

Ein anderer Aspekt ist die User Information...es wird nirgends erwähnt das es mit eurer Software möglich ist, ohne ein Wissen der betroffenden Person bzw. des betroffenden Admins, SQL Tabellen bzw. das Dateisystem des Users zu verändern!

Ich baue auch keine Teile in mein Auto ein ohne zu wissen was diese genau machen. Das gleiche gilt auch für Software, der User hat ein Recht darauf informiert zu werden was gerade passiert und vorallem wie und unter welchen Umständen.

Danke.
Kein Support über Mail, (ungefragter) PN oder ICQ, ausschließlich direkt im Forum!