Waraxe: Sicherheitslöcher in phpNuke/vkpMx

Begonnen von Andi, 26 Juli 2004, 18:22:52

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Drucken
Nach unten Seiten1
Benutzer-Aktionen

Andi

26 Juli 2004, 18:22:52
Bei waraxe befinden sich 3, teils nicht mehr ganz neue, Bekanntmachungen zu Sicherheitslöchern in phpNuke.
waraxe-2004-SA#033 - Multiple security holes in PhpNuke - part 1
waraxe-2004-SA#035 - Multiple security holes in PhpNuke - part 2
waraxe-2004-SA#036 - Multiple security holes in PhpNuke - part 3

Diese Sicherheitslöcher bestehen allesamt, ausser einem, nicht im vkpMx.

Das Problem, welches auch im vkpMx relevant ist, befindet sich im Modul maaxStat2. Hier wird, wenn man das Modul folgendermassen aufruft:
modules.php?name=maaxStats2&op=convert_month
der volle Serverpfad innerhalb einer Fehlermeldung angezeigt.

Lösung:
In der Datei modules/maaxStat2/index.php, ganz unten, folgende 3 Zeilen löschen.

case "convert_month":
convert_month($month);
break;
 
schön´s Grüssle, Andi

jubilee

#1
28 Juli 2004, 19:38:26
O.K.
Ein full path disclosure sollte aber nicht ganz so kritisch sein.
Trotzdem besser fixen !
MfG
jubilee

munzur

#2
28 Juli 2004, 19:48:58
Thx
"Debug-Mode" einschalten.
"SQL-Fehler anzeigen" einschalten
und evt. auftauchende Fehlermeldungen posten .
Drucken
Nach oben Seiten1
Benutzer-Aktionen