Mehrere Sicherheitslücken in IceBB gemeldet

Betroffen ist die aktuelle Version 1.0-rc5 der freien Bulletin-Board-Software IceBB. Angreifer können über die Sicherheitslücken PHP- oder SQL-Code einspeisen.

Die Sicherheitslücken werden in einem Bericht von Secunia beschrieben, der sich auf zwei Meldungen des Milw0rm Projekts bezieht. Beim Hochladen von Avatar Bildern wird der Dateityp nicht ausreichend überprüft, was dem Angreifer das Einspeisen von PHP-Dateien und potentiell die Ausführung eigenen PHP-Codes ermöglicht. Die zweite Sicherheitslücke entsteht durch die mangelhafte Überprüfung von Dateinamen für Avatar Bilder. Angreifer können diese Lücke nutzen, um eigenen SQL-Code ins System einzuspeisen. Ein Patch existiert bisher nicht. (twi)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.

tecCHANNEL Shop und Preisvergleich

Links zum Thema IT-Sicherheit

Angebot

Bookshop

Bücher zum Thema

eBooks (50 % Preisvorteil)

eBooks zum Thema

Software-Shop

Virenscanner