Kein Update verfügbar
Ungepatchte Schwachstelle in PHP-Nuke
Die Experten von Secunia haben eine nicht geschlossene Sicherheitslücke in PHP-Nuke gemeldet.
Die Sicherheitslücke lässt sich von außerhalb für SQL-Einspeisung verwenden. Dies könnte zu Manipulation von Daten oder Enthüllung sensibler Daten führen. Eingaben in de Parameter „sid“ durch die Datei modules.php zu modules/Search/index.php werden vor SQL-Anfragen nicht ausreichend überprüft. Dies köntnen Angreifer ausnutzen, um beliebigen SQL-Code einzuschleusen.
Ein erfolgreicher Angriff könnte den Hash-Wert des Administrator-Kontos freigeben. Dazu muss allerdings „magic_quotes_gpc“ deaktiviert sein.Ebenso muss ein Angreifer wissen, wie das Prefix der Tabellen in der Datenbank heißt. Einen Patch gibt es derzeit nicht. Anwender könnten jedoch den Quellcode selbst editieren oder „magix_quotes_gpc“ in der Datei php.ini auf „On“ setzen. (jdo)
Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von TecChannel in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.
| Links zum Thema IT-Sicherheit | Angebot |
|---|---|
| Bookshop | Bücher zum Thema |
| eBooks (50 % Preisvorteil) | eBooks zum Thema |
| Software-Shop | Virenscanner |
Der neue IT-Nachrichtendienst von TecChannel, Computerwoche, CIO und CFOworld
Lesen Sie ab sofort nur noch die für Sie wirklich relevanten Informationen von den wichtigsten IT-Webseiten! relevANTS, der lernende Nachrichtendienst für IT-Profis übernimmt diese Aufgabe für Sie. Hinter relevANTS steckt eine semantische Analysetechnik, die anhand Ihres Nutzerverhaltens und Ihrer persönlichen Vorgaben das Internet nach relevanten Inhalten durchforstet. Melden Sie sich hier kostenlos an!
Mehr zum Thema
