SQL-Injection in PHP-Nuke

Begonnen von DanielMathe, 03 Januar 2004, 12:34:37

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

DanielMathe

Laut einem Advisory[1] der Sicherheitsdatenbank SecurityTracker ist im
Content-Management-System PHP-Nuke[2] das Modul "Survey"
für SQL-Injection-Angriffe[3] anfällig. Durch
Eingabe der
URLhttp://zielrechner.de/php-nuke/modules.php?name=Surveys&pollID=a'[sql_code]

kann ein Angreifer eigene Befehle an die SQL-Datenbank übergeben und
damit auf sämtliche
Tabellen und deren Inhalte zugreifen. Der Fehler beruht auf der
fehlenden Filterung der Variablen
"pollID".

Betroffen ist Version 7.0. Ein Patch steht laut Advisory noch nicht zur
Verfügung. Betreiber der
Applikation sollten das Modul "Survey" deaktivieren.

(dab[4]/c't)

URL dieses Artikels:

http://heise.de/security/news/meldung/43242

Das dürfte vkpmx 2.1 ja nicht betreffen oder?

Andi

 :)  ein klares NEIN

solche Dinge sind zu 95% gefixt, die restlichen evtl. verbliebenen 5% werden durch die verschiedenen Filteroptionen ausgemerzt

[Editiert am 3.1.2004 von Tora]
schön´s Grüssle, Andi

NeMeSiSX2LC

 
ZitatDas dürfte vkpmx 2.1 ja nicht betreffen oder?

Der witz ist gut wo ja auch die vkp module noch soooo viel mit nuke gemeinsam haben ;)
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

Martin

auf was muss ich denn achten, wenn ich eigene Abfragen einbaue, dass diese sicher gegen solche "SQL Injections" sind?