Sie sind nicht angemeldet.

1

Mittwoch, 12. April 2006, 21:18

Kritische Schwachstellen in Confixx Professional

Sehr geehrte ok-webhosting Kunden,

heute, am 12.04.2006 wurde durch die Hacker-Gruppe LoK-Crew ein Exploit veröffentlicht durch den es möglich sein soll aufgrund unzureichender Filterung der Variablen "jahr" in der Statistik-Seite user/allgemein_transfer.php im Endkunden-Bereich beliebiger HTML-Code in die Ausgabe des Skriptes einzuschleusen.

Angreifer können mit Hilfe manipulierter Links so unter Umständen beispielsweise an Login-Informationen ihrer Opfer gelangen.

Ein ähnliches Problem existiert mit der Variablen "SID" in der Endkunden-Hauptseite user/index.php. Über diese lassen sich beliebige SQL-Befehle an den zugrunde liegenden Datenbankserver übermitteln, was einem Angreifer unter Umständen beliebigen Lese- und Schreibzugriff in der Datenbank ermöglicht.

Die Confixx-Entwicklerfirma SWsoft bestätigte die beiden Lücken gegenüber heise Security für die Versionen 3.1.2 und älter, eine Bugfix soll noch diese Woche Veröffentlichung finden.

Wichtig:

Unabhägig von einer in Aussicht gestellten Veröffentlichung des offiziellen Bugfix seites SW-Soft wurde der fehlerhafte "Schadcode" bereits beseitigt, so dass die o.g. Sicherheitslücken auf unseren Systemen nicht mehr zum tragen kommen.


Weitere Details zur o.g. Sicherheitslücke finden Sie unter http://www.heise.de/newsticker/meldung/71956
Mit freundlichen Grüßen / Best Regards

Markus Clemenz
ok-webhosting
Bergheimer Weg 37/1
70839 Gerlingen

Telefon +49 (0)7156 602 43 62
Telefax +49 (0)7156 602 43 73
Email: Kontakt@ok-webhosting.de

2

Donnerstag, 13. April 2006, 02:01

Sehr geehrte ok-webhosting Kunden,

die Confixx-Entwicklerfirma SWsoft hat mitterlweile ein offzielles Bugfix-Release veröffentlicht das auf unseren Systemen selbstverständlich entsprechend zeitnah eingespielt wurde!
Mit freundlichen Grüßen / Best Regards

Markus Clemenz
ok-webhosting
Bergheimer Weg 37/1
70839 Gerlingen

Telefon +49 (0)7156 602 43 62
Telefax +49 (0)7156 602 43 73
Email: Kontakt@ok-webhosting.de