Suche

[Andi]

In Bezug auf diese Nachricht: "schwere Sicherheitslücke in versch. CMS"

Update #3, 2.6.2005 18:30h:

Bei einer gründlichen Überprüfung des vkpMx/pragmaMx mussten wir leider feststellen, dass es unter Umständen möglich ist die o.g. Beispiele auch innerhalb des vkpMx und pragmaMx einzusetzen.

Wir raten daher allen WebSitebetreibern die vorhandene Datei (includes/sql_layer.php) gegen die neue, angepasste Version auszutauschen.
angepasste sql_layer.php

Dazu bleibt mir zunächst nur zu sagen, dass ich selbst völlig verschreckt über diese Tatsache bin.
Nach dem ganzen Wirbel der letzten Tage war ich wohl etwas zu "betriebsblind" und bin im guten Glauben von falschen Tatsachen ausgegangen.

Im vkpMx/pragmaMx werden diese beiden Variablen zwar fest definiert, aber leider an einer Stelle, an der sie überschrieben werden können. Da ich seit geraumer Zeit, fast ausschlieslich mit der Nachfolgeversion 0.2 zu tun hatte, wurden die Checks von mir unsinnigerweise nur in diesem Code getestet. Dabei hatte ich übersehen, dass gerade diese Debugfunktionen im pragmaMx 0.2 bereits völlig umgebaut sind.

Nun, es ist passiert, es ist uns und besonders mir sehr peinlich, dass uns solch ein Schlamperfehler, nicht aufgefallen ist. Leider können wir das jetzt nicht rückgängig machen, sondern nur versuchen nachzubessern.
Deswegen hier nochmal die Aufforderung an alle User des vkpMx 2.x und von pragmaMx 0.1 die sql_layer.php durch die hier angebotene Datei zu ersetzen.

Das CVS auf sourceforge wurde bereits aktualisiert.
Da sowieso ein grösseres Fixpack ansteht, werden wir die Änderung dort auch noch einarbeiten. Das Fixpack  steht wahrscheinlich am kommenden Wochenende zur Verfügung.

An der Information, dass die sql_layer.php nicht fehlerhaft ist, ändet sich dadurch nichts. Nur der "Umgang" mit der sql_layer.php ist fehlerhaft, sowohl im cPortal, weil da die beiden Variablen nicht vordefiniert sind, als auch im vkpMx/pragmaMX, weil dort die Variablen überschrieben werden können.

Wir, insbesondere ich, erwarte jetzt, dass mir in sämtlichen relevanten Foren der Kopf virtuell abgerissen wird. Damit muss ich leben, habe damit aber kein Problem, weil ich versuche, mit dieser Sache ehrlich umzugehen. Und aus Fehlern wird man klug, also kann es nur noch besser werden

angepasste sql_layer.php

[Snow2002]

Ist halt noch kein Meister vom Himmel gefallen Nein, mir ist es lieber wenn man mit offenen Karten spielt. Da gibt es einen Fehler, den gebt ihr zu und wir tauschen unsere Datei aus. Fertig. An deiner Stelle würde ich mir den Kindergarten-Krams in bestimmten Foren eh nicht mehr geben... Also zumindest ich werde deine virtuelle Rübe net abreißen.

[DigDug]

Wenn ich die angepasste Datei in ein vkpMx 2.1 einspiele, bekomme ich

Code Auswählen Erweitern

Fatal error: Call to undefined function: mxdemomode() in /.../includes/sql_layer.php on line 135

[Andi]

Ok, Sorry, vor lauter Aufregung....

Das ist nur die Datei für vkpMx 2.1.a und pragmaMX 0.1.

Die für vkpmX 2.0 und 2.1 bzw. eine "Gemeinsame" mache ich gleich fertig....

[Deepsky]

Hi Andi,
nun denn, hast ja alles "heile" gemacht 8)
Dann könnt Ihr ja endlich ans Werk gehen, dem Pragma fehlt eine neue Forensoft!! Den Kinderkram auf anderen Foren braucht letztendlich sich keiner zu geben... es sei denn man brauchts
Mich würde es freuen wenn ich das Pragma mit diesem Forum testen kann. Ein Umstieg ist langsam überfällig.. bei meiner Website.

Beste Grüße
Bernd

PS: Gegen Kopfabreißen hilft Kopfeinziehen

[gabin]

Hallo,

ich verwende vkpMx 2.1 pro, und möchte gerne wissen,
wo sich bei mir der sql_layer.php befindet?

Ich möchte die Datei durch den neuen angepasste sql_layer.php überschreiben.

Danke für das Update!
gabin

[Andi]

Hi

so, die sql_layer.php müsste jetzt in allen vkpMx/pragmaMx Versionen laufen.
@ DigDug, bitte neu runterladen


Danke euch allen für den Zuspruch 
Stimmt, den Kinderkram werde ich die nächste Zeit etwas eindämmen müssen, gibt ja wirklich wichtigeres....

@ Bernd
Jo, hast bestimmt den anderen Post wegen dem Forum gelesen


@ Gabin
in deiner vkpMx Installation befindet sich ein Ordner "includes". Dort liegt die sql_layer.php. Diese Datei einfach durch die angepasste ersetzen.

[Snow2002]

html/includes/

[Snow2002]

bei mir läufts leider nicht andi! habe ein 2.1.a...

Code Auswählen Erweitern


Fatal error: Call to undefined function: mxdetectcheckquery() in /homepages/0/d28459440/htdocs/version2/html/includes/sql_layer.php on line 122


[Andi]

Hmm, Snow2002...

dann ist der sql_injection Schutz eingeschaltet, aber das Detection System nicht richtig installiert, oder eine Datei fehlt, das sollten wir bei Gelegenheit genauer prüfen.

Habe die Datei gerade entsprechend angepasst, also bitte nochmal holen

[Snow2002]

jut, nun funzt es wieder!

[Deepsky]

@ Bernd
Jo, hast bestimmt den anderen Post wegen dem Forum gelesen

Hi Andi,
ja, habe ich gelesen! Aber das nächste, wichtigere Projekt ist euer Server! Dann kann man weiter machen.
Säge mir Beeeescheid wenn ich mir das Forum mal genauer betrachten kann, so es denn erwünscht ist

Beste Grüße
Bernd

[gabin]

Guten morgen an alle,

Nach dem Ersezten der oben genannten Datei bekomme ich folgende Meldung:

Code Auswählen Erweitern

Bitte entschuldigen Sie den technischen Ausfall.

Bitte versuchen Sie es in ein paar Minuten noch einmal.

Hat diese Meldung mit der oben genannten Datei zu tun oder liegt es an meinem Provider?

Danke
gabin

[Snow2002]

Moin!
Spiel doch testhalber kurz die alte Datei auf... Wenn das Prob immernoch besteht liegts nicht an der Datei...

Gruß, Marcus

[gabin]

Vielen Dank,

es funktioniert wieder !

Gruß
gabin

[Andi]

Oki, das Update/Zwischenrelease für pragmaMx 0.1 ist (seit gestern) verfügbar:

Weitere Informationen hier:
http://www.pragmamx.org/News-file-article-sid-575.html

Das Update für vkpMx 2.x ist auch fast fertig und kommt wahrscheinlich noch heute Abend.