In PHP-Nuke wird eine Schwachstelle gemeldet, über die Angreifer eine SQL-Einspeisungs-Attacke vornehmen können.

Eingaben mittels des HTTP Header "referer" in der Datei "index.php" werden vor der Verwendung in einer SQL-Abfrage nicht ausreichend bereinigt. Dies kann der Angreifer ausnutzen, um SQL-Abfragen durch Einspeisen beliebigen SQL-Codes zu manipulieren.

Die Sicherheitslücke ist bestätigt für Version 7.9 und nach Meldungen auch in Version 8.0. Andere Versionen könnten jedoch ebenfalls betroffen sein.
Lösung

Empfehlung:

Ändern Sie den Quelltext dahingehend ab, dass Eingaben ausreichend bereinigt werden.

Die beliebte Blogging-Software Wordpress wurde kurz nach dem Erscheinen der Version 2.1 bereits gepatcht. Ein Sicherheitsupdate mit der Versionsnummer 2.1.1 sowie 2.0.9 behebt Sicherheitsprobleme und sollte umgehend eingespielt werden.

Insgesamt 30 kleinere Fixes gegenüber 2.1 enthält die neue Version, darunter in den Bereichen XML-RPC, Caching, HTML und Encoding.

In der Version 2.0.9 sind diese 30 Fixes nicht enthalten, wohl aber die Sicherheitsfixes. Diese schließen in beiden Versionen eine Lücke, die erst durch einen Sicherheitsfix im Bereich Cross Site Scripting entstanden ist. Die Lücke wird derzeit als niedrig bis mittelschwer eingestuft.

Allen Administratoren von Wordpress-Systemen wird empfohlen die Patches so schnell wie möglich einzuspielen. In der Vergangenheit wurden Sicherheitslücken in Wordpress systematisch, teilweise automatisiert ausgenutzt, so dass ein zeitnahes Stopfen der Löchern unbedingt empfohlen wird.

Hallo!

Ich entwickle das Open Source Content Management System DBHcms. Habe anfag diesen monats das erste stable release freigegeben. Würde mich sehr interessieren was Ihr von diesen system haltet. Gibt mir eure meinung dazu! Mehr infos gibt es auf http://www.drbenhur.com/ und ein Demo zum einlogen und testen gibts auf http://dbhcms-demo.drbenhur.com/ . Bin für jeden Feedback dankbar!

Gruss, Kai

Spamassassin wurde auf allen Systemen auf den Versionsstand 3.1.8 gebracht.

In dieser Version wurde auch eine Sicherheitslücke geschlossen, die Angreifern durch gezielte Manipulation von URI Adressen im Nachrichtentext einer E-Mail einen Denial-of-Service-Angriff gegen SpamAssassin ermöglicht hatte.

Interessierte Kunden finden Details zu den Änderungen hier

nun hänge schon die ganze Nacht an meinem Download - Skript um die Kommentareingabe via Captcha_Code abzusichern. Bekomme ständig irgendwelche
[code:1]Cannot send session cache limiter[/code:1]
meldungen etc...

Ich habe bis jetzt auch kein Skript gefunden das mit einer anständigen Anleitung versehen ist .
Ständig wird man auf irgendwelche Foren verwiesen die es schon gar nicht mehr gibt...

Ich habe auch schon das gleiche Downloads Skript funktionstüchtig mit einem CaptchaCode gesehen also gehe ich davon aus, dass ich mich ein wenig dumm anstell und eventuell dem Wald vor lauter Bäumen ich sehe.

Meine Frage an euch
könnte mir jemand einen Code einbauen ???
Mir ist auch ganz egal welches Captcha-Skript benutzt wird solang es nicht auf Fremdservern greift.


ach ja
Mein Downloadskript befindet sich hier
ich habe derzeit das Kommentarfeld wegen extreeeem Spaming deaktiviert

Hallo

von Web de bin ich es gewohnt E-Mails zu markieren und diese als unerwünscht beziehungsweise Spam zu deklarieren.

Bei RoundCube sehe ich zwar einen Spam-ordner doch wie bekomme ich die E-Mails dort hinein beziehungsweise sage ich dem Klienten dass dieser Absender Spam sein soll ?

sehr nützlich wäre es wenn es oben im Haederbereich einen Link zur eigentlichen Homepage geben würde...

Viele User kommen sicherlich über Google und Co hierher und sind nicht immer in der Lage in der Adress-Zeile die Url zu ändern.

Cyberkriminelle versuchen derzeit Schaedlinge auf fremde Rechner zu schmuggeln.
Sie verschicken gefaelschte E-Mails, die angeblich vom Bundeskriminalamt (BKA) stammen sollen.
Der Inhalt der gefaelschten E-Mails besagt, dass gegen den
Empfaenger angeblich Strafanzeige gestellt wurde. Der Empfaenger wird
aufgefordert, die im Anhang befindliche Datei - die angebliche
Strafanzeige - auszudrucken und mit einer Stellungnahme versehen an den
Absender zu faxen.

Das Bundeskriminalamt warnt dringend davor, den Dateianhang der E-Mail zu oeffnen. Tut der Nutzer dies, installiert sich ein Trojanisches Pferd auf dem Rechner, das weitere Schadsoftware aus dem Internet nachlaedt. Das Buerger-CERT raet Nutzern, die E-Mails ungeoeffnet zu loeschen und die
Virenschutz-Software zu aktualisieren.

Sehr geehrte ok-webhosting Kunden,

phpMyAdmin wurde heute auf den Versionsstand 9.2.1 gebracht.

Gegenüber der Vorgängerversion handelt es sich um ein reines Bugfix-Release.

Bei Bedarf entnehmen Sie weitere Details der
Versionshistory

Sehr geehrte ok-webhosting Kunden,

dankenswerter Weise wurden wir durch einen Kunden auf das Plugin Akismet aufmerksam gemacht.

Akismet ist ein sehr wirksamer Spamschutz für das weit verbreitete Weblog-System WordPress ab Version 1.52 und für den privaten Gebrauch kostenlos.

Da wir o.g. Plugin als durchaus sinnvoll und nützlich einschätzen, wollen wir es unseren Kunden selbstverständlich nicht vorenthalten.

Akismet steht daher ab sofort auf allen Serversystemen zur Verfügung und ist über den Pfad /usr/lib/perl5/site_perl/5.8.6/Net/Akismet.pm erreichbar.

Für WordPress 1.52 wird ein Wordpress.com API Key benötigt, um Akismet einsetzen zu können. D.h. man muss sich bei Wordpress.com registrieren, um letztendlich die Vorzüge dieses Plugins nutzen zu können (siehe auch http://blog.wordpress-deutschland.org/20...ismet.html).

In WordPress ab Version 2.0 ist die Akismet Unterstützung grundsätzlich bereits vorhanden.

Durch die zugängliche API kann Akismet durch entsprechende Plugins auch in andere Weblog-/CMS-Systeme eingebunden werden (siehe http://akismet.com/development/).