Laut einem Advisory[1] der Sicherheitsdatenbank SecurityTracker ist im
Content-Management-System PHP-Nuke[2] das Modul "Survey"
für SQL-Injection-Angriffe[3] anfällig. Durch
Eingabe der
URLhttp://zielrechner.de/php-nuke/modules.php?name=Surveys&pollID=a'[sql_code]
kann ein Angreifer eigene Befehle an die SQL-Datenbank übergeben und
damit auf sämtliche
Tabellen und deren Inhalte zugreifen. Der Fehler beruht auf der
fehlenden Filterung der Variablen
"pollID".
Betroffen ist Version 7.0. Ein Patch steht laut Advisory noch nicht zur
Verfügung. Betreiber der
Applikation sollten das Modul "Survey" deaktivieren.
(dab[4]/c't)
URL dieses Artikels:
http://heise.de/security/news/meldung/43242
Das dürfte vkpmx 2.1 ja nicht betreffen oder?
:) ein klares NEIN
solche Dinge sind zu 95% gefixt, die restlichen evtl. verbliebenen 5% werden durch die verschiedenen Filteroptionen ausgemerzt
[Editiert am 3.1.2004 von Tora]
ZitatDas dürfte vkpmx 2.1 ja nicht betreffen oder?
Der witz ist gut wo ja auch die vkp module noch soooo viel mit nuke gemeinsam haben ;)
auf was muss ich denn achten, wenn ich eigene Abfragen einbaue, dass diese sicher gegen solche "SQL Injections" sind?