pragmaMx Support Forum pragmaMx Support Forum

Sicherheitslücke im Landkartenmodul

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
Sicherheitslücke im Landkartenmodul
« am: 20 März 2007, 15:45:23 »
Im Landkarten-Modul wurde eine Sicherheitslücke bekannt.
http://secunia.com/advisories/24589/

Damit wurde erstmals ein speziell für pragmaMx gecodetes Fremd-Modul/Addon ein Opfer der Hackergemeinde....
Sehr betrüblich  :gruebel:
Die Downloads habe ich hier auf der Seite deaktiviert und den Autor informiert.


Schnellfix:
Zitat
Input passed to the "module_name" parameter in modules/Landkarte/inc/map.func.php is not properly verified before being used to include files.

Editiere diese Datei modules/Landkarte/inc/map.func.php und ändere diese Zeile:
require_once("modules/$module_name/inc/conf.php");wie folgt ab:
require_once(dirname(__file__) . '/conf.php');
schön´s Grüssle, Andi

xaver

Re: Sicherheitslücke im Landkartenmodul
« Antwort #1 am: 12 April 2007, 22:38:25 »
Hallo,
ist das wirklich alles, was ich falsch gemacht habe? Muss ich nur dies eine Zeile ändern und dann passts???

Also des war mein erstes PHP-Projekt und ich wusste gar nicht, dass es da Sicherheitslücken geben kann... ich dachte, dass an den Code ja eh niemand ran kommt weil der ja sofort auf m Server noch ausgeführt wird...

Also falls des alles war:
Des Fehlerchen hab ich behoben und hab des ganze Version 2.2 getauft ^^

Gibts unter **********
« Letzte Änderung: 10 Mai 2007, 18:53:02 von Andi »

Offline JoergK

  • *******
  • 2.206
  • +6/-0
  • Geschlecht: Männlich
Re: Sicherheitslücke im Landkartenmodul
« Antwort #2 am: 13 April 2007, 00:30:46 »
Also des war mein erstes PHP-Projekt und ich wusste gar nicht, dass es da Sicherheitslücken geben kann...

Hier mal was als Einleitung zum Thema PHP und Sicherheit: http://www.php-faq.de/ch/ch-security.html

Und hier noch ne Seite mit Links zum Theme PHP im Allgemeinen und Speziellen. Ziemlich am Ende der Seite gibt es auch Links zu deutschsprachigen Sites: http://de.php.net/links.php
Gruß,
Jörg

Nobody is perfect ... so don't call me Nobody

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
Re: Sicherheitslücke im Landkartenmodul
« Antwort #3 am: 15 April 2007, 00:50:40 »
Hi :)

Bitte auch unbedingt hier lesen:
http://www.pragmamx.org/Forum-topic-16818.html

Ich habe das neue Modul jetzt grob durchgesehen.
Nach wie vor ist keinerlei Schutz gegen direktes Aufrufen der Dateien eingebaut. Habe zwar nicht getestet, ob man dadurch was anstellen könnte, aber das sollte in einem Modul auf jeden Fall vermieden werden...

ich dachte, dass an den Code ja eh niemand ran kommt weil der ja sofort auf m Server noch ausgeführt wirdJeder der das Script downloaden kann, der sieht den Code. Hacker schauen sich den Code dann nicht nur an, sondern suchen gezielt nach solchen Stellen und testen das aus...

Musst mal z.B. ein nettes waraxe-Advisory lesen, dann siehst du wie die Jungs vorgehen:
http://www.waraxe.us/content-cat-1.html
schön´s Grüssle, Andi

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
Re: Sicherheitslücke im Landkartenmodul
« Antwort #4 am: 10 Mai 2007, 18:53:59 »
Aus gegebenen Anlass habe ich den Link zu der neuen Version ebenfalls hier unkenntlich gemacht.

Die Sicherheitslücken sind noch nicht alle behoben!!!
schön´s Grüssle, Andi