Schwachstelle: Mögliche SQL-Injection in Mambo 4.x und Joomla 1.x

Die Sicherheitslücke lässt sich von Angreifern eventuell ausnutzen, um eine so genannte SQL-Injection-Attacke auszuführen. Damit ließen sich unter Umständen Daten auf den betroffenen Systemen manipulieren. Eingaben von Weblinks in das „Name“-Feld überprüft die Software nicht ausreichend, bevor sie diese in einer SQL-Abfrage verwendet. Damit könnte ein Angreifer SQL-Queries manipulieren und beliebigen SQL-Code ausführen lassen.

Die Schwachstelle ist bestätigt für Mambo 4.5.3h, Mambo 4.6rc1 und Joomla 1.0.9. Andere Versionen könnten ebenfalls betroffen sein. Ein Patch steht derzeit nicht zur Verfügung. Einziger Lösungsvorschlag ist derzeit, den Sourcecode dahingehend zu verändern, dass die Eingabe ausreichend überprüft wird. (jdo)

Sie interessieren sich für Linux? Dann abonnieren Sie doch den kostenlosen Linux-Newsletter von tecCHANNEL. Er wird in der Regel ein Mal pro Woche am Freitag verschickt und enthält nur die für Linux-Anwender relevanten News und Beiträge von tecChannel.de. So sparen Sie Zeit und sind trotzdem voll informiert. Hier geht es zur Anmeldeseite.