SQL-Injection in PHP-Nuke

Begonnen von DanielMathe, 03 Januar 2004, 12:34:37

Vorheriges Thema - Nächstes Thema

0 Mitglieder und 1 Gast betrachten dieses Thema.

Drucken
Nach unten Seiten1
Benutzer-Aktionen

DanielMathe

03 Januar 2004, 12:34:37
Laut einem Advisory[1] der Sicherheitsdatenbank SecurityTracker ist im
Content-Management-System PHP-Nuke[2] das Modul "Survey"
für SQL-Injection-Angriffe[3] anfällig. Durch
Eingabe der
URLhttp://zielrechner.de/php-nuke/modules.php?name=Surveys&pollID=a'[sql_code]

kann ein Angreifer eigene Befehle an die SQL-Datenbank übergeben und
damit auf sämtliche
Tabellen und deren Inhalte zugreifen. Der Fehler beruht auf der
fehlenden Filterung der Variablen
"pollID".

Betroffen ist Version 7.0. Ein Patch steht laut Advisory noch nicht zur
Verfügung. Betreiber der
Applikation sollten das Modul "Survey" deaktivieren.

(dab[4]/c't)

URL dieses Artikels:

http://heise.de/security/news/meldung/43242

Das dürfte vkpmx 2.1 ja nicht betreffen oder?

Andi

#1
03 Januar 2004, 13:21:34
 :)  ein klares NEIN

solche Dinge sind zu 95% gefixt, die restlichen evtl. verbliebenen 5% werden durch die verschiedenen Filteroptionen ausgemerzt

[Editiert am 3.1.2004 von Tora]
schön´s Grüssle, Andi

NeMeSiSX2LC

#2
03 Januar 2004, 15:24:53
 
ZitatDas dürfte vkpmx 2.1 ja nicht betreffen oder?

Der witz ist gut wo ja auch die vkp module noch soooo viel mit nuke gemeinsam haben ;)
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

Martin

#3
03 Januar 2004, 15:46:03
auf was muss ich denn achten, wenn ich eigene Abfragen einbaue, dass diese sicher gegen solche "SQL Injections" sind?

Drucken
Nach oben Seiten1
Benutzer-Aktionen