Sicherheitslücke in MySQL Calender

Die Schwachstelle lässt sich für so genannte SQL-Einspeisungen ausnutzen. Eingaben in den Parameter „username“ in der Datei index.php überprüft die Software nicht ausreichend, bevor diese in SQL-Abfragen verwendet werden. Somit könnte sich eine SQL-Abfrage manipulieren lassen.

Ein erfolgreicher Angriff könnte somit den Login-Mechanismus umgehen. Bestätigt ist die Sicherheitslücke für Version MySQL Calender 1.2. Andere Varianten könnten ebenfalls betroffen sein. Ein Update steht derzeit nicht zur Verfügung. Als Lösung könnten Anwender selbst Hand an den Quellcode anlegen und den Missstand ausbessern. Als Fix schlagen Experten diesen Ersatzcode vor: $username = mysql_real_escape_string($_POST['username']); (jdo)