Workaround verfügbar
Diverse Sicherheitslücken in Postfix Admin geflickt
PDF
eBook
Insgesamt wurden fünf Sicherheitslücken in Postfix Admin 2.x ausgemerzt. Diese lassen sich zu Cross Site Scriptiing und Datenmanipulation ausnutzen.
Die fünf Schwachstellen in Postfix Admin 2.x sind als kritisch eingestuft. Eingaben in den Parameter Domain in der Datei templates/menu.php überprüft die Software nicht ausreichend, bevor diese an den Anwender zurückgegeben werden. Somit könnte sich beliebiger HTML- und Script-Code in der Browser-Sitzung eines Anwenders ausführen lassen. Ein ähnliches Problem besteht bei den Dateien create-domain.php, create-alias.php und edit-alias.php.
Nicht näher spezifizierte Eingaben in die pacrypt()-Funktion in der Datei functions.inc.php werden ebenfalls nicht ausreichend bereinigt, bevor diese Einsatz in SQL-Abfragen finden. Damit könnte sich beliebiger SQL-Code einspeisen lassen. Ähnlich trifft es sich mit Eingaben in die Datei backup.php. Hier lässt sich unter Umständen SQL-Code manipulieren.
Die Schwachstellen sind für Version 2.3.4 und früher bestätigt. In den SVN-Repositories sind die Probleme bereits bereinigt: postfixadmin.svn.sourceforge.net, openwall.com (jdo)
Gratis-Apps für Smartphones und Tablet-PCs
Holen Sie sich die kostenlosen TecChannel-Apps für
iPhone, iPad, Android, bada und Windows 7 Slate. Oder nutzen Sie mobil.tecchannel.de für alle Geräte.
