Suche

[Charan]

Hallo Praxmax,

ist schon etwas verwirrend, Euer Gerangel mit den anderen Systemen.
Wie auch immer, habe ich jetzt ne Sicherheitslücke oder nicht?

Habe die zwei Zeilen in die entsprechende Datei eingefügt, keine Veränderung.

Gruß Jochen

[Andi]

Moin

Wie wir soeben feststellen mussten, wird durch den Einsatz des Datenbanklayers (sql_layer.php) unseres CMS vkpMx/pragmaMx, in anderen phpNuke ähnlichen Systemen eine schwere Sicherheitslücke aufgetan.

http://www.pragmamx.org/modules.php?name=News&file=article&sid=571

Also, NUR wenn die Datei NICHT im vkpMx/pragmaMx eingesetzt wird.

[Andi]

Sorry, aber jetzt hat es uns doch erwischt, leider müssen wir unsere Sicherheitswarnung doch auf das vkpMX/pragmaMX ausdehnen:

Bei einer gründlichen Überprüfung des vkpMx/pragmaMx mussten wir leider feststellen, dass es unter Umständen möglich ist die o.g. Beispiele auch innerhalb des vkpMx und pragmaMx einzusetzen.

Wir raten daher allen WebSitebetreibern die vorhandene Datei (includes/sql_layer.php) gegen die neue, gefixte Version auszutauschen.
gefixte sql_layer.php

Weitere Informationen sind gleich im Forum zu finden.

http://www.pragmamx.org/News-file-article-sid-571.html

Wie gesagt, weiter Infos kommen gleich.

[smartmusic]

ich verstehe nun auch nichts mehr

ich habe das vkp mx 2.1

muss ich nun diese neue datei bei mir mit der alten ersetzen?

[RiotheRat]

Alt -> Raus
Neu -> Rein

Hatte Andi aber auch so im Forum und der Startseite geschrieben ...

RtR

[Charan]

Flutscht einwandfrei

Gruß Jochen 

[Andi]

@ Charan

Danke Dir übrigens für den Hinweis 

[onkel]

Meine Freunde scheinen uns hier zu beobachten, das ging ganz schnell 


02-06-2005 17:45:14 [Union] Hack detected (0)
user: Anonymous
admin: Anonymous

request:
_GET[name] = News   
_GET[mxSqlErrorDebug] = 1 
_GET[mxSqlDebug] = 1') UNION SELECT * FROM ***_users where uname = 'Admin''
Serverinfo:
REMOTE_ADDR:          66.*******
QUERY_STRING:         name=*****************************************************\'\'
REQUEST_URI:          /modules.php?name=News%20&**************************************************************
REMOTE_PORT:          36907
REMOTE_HOST: 

Mal schauen ob jetzt doch was dagegen unternehme

[RiotheRat]

*big brother is watching you* ... oder uns alle?  Grade noch rechtezeitig ausgetauscht würde ich sagen ... 

RtR

[Andi]

Hi

klar, die nächste Zeit werden leider ein paar mehr ungeliebte Besucher auf den Seiten etwas probieren...

Aber:

- nach wie vor werden die sql-Abfragen durch das Detection System und die vielen versch. Checks gefiltert
- nach wie vor kann man mit ausgespähten Passwort-Hashs eigentlich nichts anfangen, weil es keine entsprechenden Cookies dazu gibt, da das System über Sessions authentifiziert
- nach wie vor dürften zumindest in den mitgelieferten Modulen und Systemdateien keine provozierten Fehlermeldungen machbar sein

Im vkpMx und den damit mitgelieferten Modulen ist die Sicherheitslücke zwar ein vergleichsweise krasser Fehler, der aber hier nicht als 'gefährlich' eingestuft werden dürfte.

Und der hacker, der das da bei dir versucht hat, der hat anscheinend garnicht kapiert um was es geht

[smartmusic]

Meine Freunde scheinen uns hier zu beobachten, das ging ganz schnell 


02-06-2005 17:45:14 [Union] Hack detected (0)
user: Anonymous
admin: Anonymous

request:
_GET[name] = News   
_GET[mxSqlErrorDebug] = 1 
_GET[mxSqlDebug] = 1') UNION SELECT * FROM ***_users where uname = 'Admin''
Serverinfo:
REMOTE_ADDR:          66.*******
QUERY_STRING:         name=*****************************************************\'\'
REQUEST_URI:          /modules.php?name=News%20&**************************************************************
REMOTE_PORT:          36907
REMOTE_HOST: 

Mal schauen ob jetzt doch was dagegen unternehme

und wie bekommt man diese meldungen?

wo steht das?

[Andi]

und wie bekommt man diese meldungen?

- Im vkpMx 2.1.a, vkpMx 2.1-pro und in pragmaMx 0.1 im Adminmenü den sql-Injection Schutz einschalten.
- Im vkpMx 2.0 bis 2.1 die Detection Erweiterung installieren, die sich hier in den Downloads befindet. (hier macht der sql-injection Schutz noch was anderes)

@ Onkel
die toben sich ja ganz schön bei dir aus...
Bekomme ja auch die Meldungen...

[smartmusic]

der injection schutz steht bei mir auf ja,aber wo würde die nachricht wie oben dann erscheinen,das ich sehe das es jemand versucht hat?

[Andi]

Hi

Die bekommst du als mail zugeschickt.
An die Mailadresse, die im Adminmenü angegeben ist.

Zusätzliche werden die im Ordner /includes/detection/logs/ mitgeloggt, wenn der Ordner von php beschreibbar ist.

[onkel]

die toben sich ja ganz schön bei dir aus...
Bekomme ja auch die Meldungen...

Ja, wie gesagt viele feind (konkurrenz) und diese Menschen die andere Menschen nicht mögen