Lücke in Mambo-Modul Galleria 1.x kann Systemzugriff erlauben

Ein Ausnutzen der Schwachstelle erlaubt es potenziellen Angreifern möglicherweise, Zugriff auf ein betroffenes System zu erlangen. Schuld an der Misere ist der „mosConfig_absolute_path“-Parameter in der Datei galleria.html.php. Eingaben überprüft die Software nicht ausreichend. Damit könnte ein Angreifer beliebige Dateien von intern oder extern einschleusen.

Voraussetzung ist allerdings, dass der php-Parameter „register_globals“ aktiviert ist. Die Schwachstelle wurde bestätigt für Version 1.0. Andere Versionen könnten ebenfalls betroffen sein. Ein Patch besteht derzeit nicht. Als Lösung schlagen die Experten vor, wenn möglich den Schalter „register_globals“ auf „Off“ zu stellen. Sie könnten den Source-Code auch selbst editieren, um die Schwachstelle zu beheben. (jdo)

Sie interessieren sich für Linux? Dann abonnieren Sie doch den kostenlosen Linux-Newsletter von tecCHANNEL. Er wird in der Regel ein Mal pro Woche am Freitag verschickt und enthält nur die für Linux-Anwender relevanten News und Beiträge von tecChannel.de. So sparen Sie Zeit und sind trotzdem voll informiert. Hier geht es zur Anmeldeseite.