Sicherheitslücke im Landkartenmodul

Begonnen von Andi, 20 März 2007, 15:45:23

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Andi

Im Landkarten-Modul wurde eine Sicherheitslücke bekannt.
http://secunia.com/advisories/24589/

Damit wurde erstmals ein speziell für pragmaMx gecodetes Fremd-Modul/Addon ein Opfer der Hackergemeinde....
Sehr betrüblich  :gruebel:
Die Downloads habe ich hier auf der Seite deaktiviert und den Autor informiert.


Schnellfix:
ZitatInput passed to the "module_name" parameter in modules/Landkarte/inc/map.func.php is not properly verified before being used to include files.

Editiere diese Datei modules/Landkarte/inc/map.func.php und ändere diese Zeile:
require_once("modules/$module_name/inc/conf.php");
wie folgt ab:
require_once(dirname(__file__) . '/conf.php');
schön´s Grüssle, Andi

xaver

#1
Hallo,
ist das wirklich alles, was ich falsch gemacht habe? Muss ich nur dies eine Zeile ändern und dann passts???

Also des war mein erstes PHP-Projekt und ich wusste gar nicht, dass es da Sicherheitslücken geben kann... ich dachte, dass an den Code ja eh niemand ran kommt weil der ja sofort auf m Server noch ausgeführt wird...

Also falls des alles war:
Des Fehlerchen hab ich behoben und hab des ganze Version 2.2 getauft ^^

Gibts unter **********

JoergK

Zitat von: xaver am 12 April 2007, 22:38:25
Also des war mein erstes PHP-Projekt und ich wusste gar nicht, dass es da Sicherheitslücken geben kann...

Hier mal was als Einleitung zum Thema PHP und Sicherheit: http://www.php-faq.de/ch/ch-security.html

Und hier noch ne Seite mit Links zum Theme PHP im Allgemeinen und Speziellen. Ziemlich am Ende der Seite gibt es auch Links zu deutschsprachigen Sites: http://de.php.net/links.php
Gruß,
Jörg


Nobody is perfect ... so don't call me Nobody

Andi

Hi :)

Bitte auch unbedingt hier lesen:
http://www.pragmamx.org/Forum-topic-16818.html

Ich habe das neue Modul jetzt grob durchgesehen.
Nach wie vor ist keinerlei Schutz gegen direktes Aufrufen der Dateien eingebaut. Habe zwar nicht getestet, ob man dadurch was anstellen könnte, aber das sollte in einem Modul auf jeden Fall vermieden werden...

ich dachte, dass an den Code ja eh niemand ran kommt weil der ja sofort auf m Server noch ausgeführt wirdJeder der das Script downloaden kann, der sieht den Code. Hacker schauen sich den Code dann nicht nur an, sondern suchen gezielt nach solchen Stellen und testen das aus...

Musst mal z.B. ein nettes waraxe-Advisory lesen, dann siehst du wie die Jungs vorgehen:
http://www.waraxe.us/content-cat-1.html
schön´s Grüssle, Andi

Andi

Aus gegebenen Anlass habe ich den Link zu der neuen Version ebenfalls hier unkenntlich gemacht.

Die Sicherheitslücken sind noch nicht alle behoben!!!
schön´s Grüssle, Andi