Kein Update verfügbar
Ungepatchte Schwachstelle in PHP-Nuke
Die Experten von Secunia haben eine nicht geschlossene Sicherheitslücke in PHP-Nuke gemeldet.
Die Sicherheitslücke lässt sich von außerhalb für SQL-Einspeisung verwenden. Dies könnte zu Manipulation von Daten oder Enthüllung sensibler Daten führen. Eingaben in de Parameter „sid“ durch die Datei modules.php zu modules/Search/index.php werden vor SQL-Anfragen nicht ausreichend überprüft. Dies köntnen Angreifer ausnutzen, um beliebigen SQL-Code einzuschleusen.
Ein erfolgreicher Angriff könnte den Hash-Wert des Administrator-Kontos freigeben. Dazu muss allerdings „magic_quotes_gpc“ deaktiviert sein.Ebenso muss ein Angreifer wissen, wie das Prefix der Tabellen in der Datenbank heißt. Einen Patch gibt es derzeit nicht. Anwender könnten jedoch den Quellcode selbst editieren oder „magix_quotes_gpc“ in der Datei php.ini auf „On“ setzen. (jdo)
Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von TecChannel in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.
| Links zum Thema IT-Sicherheit | Angebot |
|---|---|
| Bookshop | Bücher zum Thema |
| eBooks (50 % Preisvorteil) | eBooks zum Thema |
| Software-Shop | Virenscanner |
Gratis-Apps für Smartphones und Tablet-PCs
Holen Sie sich die kostenlosen TecChannel-Apps für
iPhone, iPad, Android, bada und Windows 7 Slate. Oder nutzen Sie mobil.tecchannel.de für alle Geräte.
Mehr zum Thema
