Sicherheitslücke "Ja" oder "Nein"

Begonnen von Charan, 02 Juni 2005, 13:10:27

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Charan

Hallo Praxmax,

ist schon etwas verwirrend, Euer Gerangel mit den anderen Systemen.
Wie auch immer, habe ich jetzt ne Sicherheitslücke oder nicht?

Habe die zwei Zeilen in die entsprechende Datei eingefügt, keine Veränderung.

Gruß Jochen

Andi

Moin :)
ZitatWie wir soeben feststellen mussten, wird durch den Einsatz des Datenbanklayers (sql_layer.php) unseres CMS vkpMx/pragmaMx, in anderen phpNuke ähnlichen Systemen eine schwere Sicherheitslücke aufgetan.

http://www.pragmamx.org/modules.php?name=News&file=article&sid=571

Also, NUR wenn die Datei NICHT im vkpMx/pragmaMx eingesetzt wird.
schön´s Grüssle, Andi

Andi

Sorry, aber jetzt hat es uns doch erwischt, leider müssen wir unsere Sicherheitswarnung doch auf das vkpMX/pragmaMX ausdehnen:
ZitatBei einer gründlichen Überprüfung des vkpMx/pragmaMx mussten wir leider feststellen, dass es unter Umständen möglich ist die o.g. Beispiele auch innerhalb des vkpMx und pragmaMx einzusetzen.

Wir raten daher allen WebSitebetreibern die vorhandene Datei (includes/sql_layer.php) gegen die neue, gefixte Version auszutauschen.
gefixte sql_layer.php

Weitere Informationen sind gleich im Forum zu finden.
http://www.pragmamx.org/News-file-article-sid-571.html

Wie gesagt, weiter Infos kommen gleich.
schön´s Grüssle, Andi

smartmusic

ich verstehe nun auch nichts mehr

ich habe das vkp mx 2.1

muss ich nun diese neue datei bei mir mit der alten ersetzen?

RiotheRat

Alt -> Raus
Neu -> Rein

Hatte Andi aber auch so im Forum und der Startseite geschrieben ...

RtR
Unaufgeforderte PNs & Emails werden ignoriert

Erst wenn die letzte Zeile Code verhunzt, der letzte Server gehackt und der letzte Script-Kidde befriedigt ist, erst dann, werdet Ihr feststellen, dass Nuke nicht sicher ist...

Charan

Flutscht einwandfrei

Gruß Jochen  :dafuer:

Andi

@ Charan

Danke Dir übrigens für den Hinweis  :thumbup:
schön´s Grüssle, Andi

onkel

Meine Freunde scheinen uns hier zu beobachten, das ging ganz schnell  :D


02-06-2005 17:45:14 [Union] Hack detected (0)
user: Anonymous
admin: Anonymous

request:
_GET[name] = News   
_GET[mxSqlErrorDebug] = 1 
_GET[mxSqlDebug] = 1') UNION SELECT * FROM ***_users where uname = 'Admin''
Serverinfo:
REMOTE_ADDR:          66.*******
QUERY_STRING:         name=*****************************************************\'\'
REQUEST_URI:          /modules.php?name=News%20&**************************************************************
REMOTE_PORT:          36907
REMOTE_HOST: 

Mal schauen ob jetzt doch was dagegen unternehme ;)

RiotheRat

*big brother is watching you* ... oder uns alle?  :D Grade noch rechtezeitig ausgetauscht würde ich sagen ...  :thumbup:

RtR
Unaufgeforderte PNs & Emails werden ignoriert

Erst wenn die letzte Zeile Code verhunzt, der letzte Server gehackt und der letzte Script-Kidde befriedigt ist, erst dann, werdet Ihr feststellen, dass Nuke nicht sicher ist...

Andi

Hi :)

klar, die nächste Zeit werden leider ein paar mehr ungeliebte Besucher auf den Seiten etwas probieren...

Aber:

- nach wie vor werden die sql-Abfragen durch das Detection System und die vielen versch. Checks gefiltert
- nach wie vor kann man mit ausgespähten Passwort-Hashs eigentlich nichts anfangen, weil es keine entsprechenden Cookies dazu gibt, da das System über Sessions authentifiziert
- nach wie vor dürften zumindest in den mitgelieferten Modulen und Systemdateien keine provozierten Fehlermeldungen machbar sein

Im vkpMx und den damit mitgelieferten Modulen ist die Sicherheitslücke zwar ein vergleichsweise krasser Fehler, der aber hier nicht als 'gefährlich' eingestuft werden dürfte.

Und der hacker, der das da bei dir versucht hat, der hat anscheinend garnicht kapiert um was es geht ;)
schön´s Grüssle, Andi

smartmusic

Zitat von: onkel am 02 Juni 2005, 20:04:58
Meine Freunde scheinen uns hier zu beobachten, das ging ganz schnell  :D


02-06-2005 17:45:14 [Union] Hack detected (0)
user: Anonymous
admin: Anonymous

request:
_GET[name] = News   
_GET[mxSqlErrorDebug] = 1 
_GET[mxSqlDebug] = 1') UNION SELECT * FROM ***_users where uname = 'Admin''
Serverinfo:
REMOTE_ADDR:          66.*******
QUERY_STRING:         name=*****************************************************\'\'
REQUEST_URI:          /modules.php?name=News%20&**************************************************************
REMOTE_PORT:          36907
REMOTE_HOST: 

Mal schauen ob jetzt doch was dagegen unternehme ;)

und wie bekommt man diese meldungen?

wo steht das?

Andi

Zitatund wie bekommt man diese meldungen?

- Im vkpMx 2.1.a, vkpMx 2.1-pro und in pragmaMx 0.1 im Adminmenü den sql-Injection Schutz einschalten.
- Im vkpMx 2.0 bis 2.1 die Detection Erweiterung installieren, die sich hier in den Downloads befindet. (hier macht der sql-injection Schutz noch was anderes)

@ Onkel
die toben sich ja ganz schön bei dir aus...
Bekomme ja auch die Meldungen...
schön´s Grüssle, Andi

smartmusic

der injection schutz steht bei mir auf ja,aber wo würde die nachricht wie oben dann erscheinen,das ich sehe das es jemand versucht hat?

Andi

Hi :)

Die bekommst du als mail zugeschickt.
An die Mailadresse, die im Adminmenü angegeben ist.

Zusätzliche werden die im Ordner /includes/detection/logs/ mitgeloggt, wenn der Ordner von php beschreibbar ist.
schön´s Grüssle, Andi

onkel

Zitatdie toben sich ja ganz schön bei dir aus...
Bekomme ja auch die Meldungen...

Ja, wie gesagt viele feind (konkurrenz) und diese Menschen die andere Menschen nicht mögen ;)