+- ok-webhosting Forum (https://forum.ok-webhosting.de)
+-- Forum: Technik-Foren (https://forum.ok-webhosting.de/forumdisplay.php?fid=4)
+--- Forum: Confixx (https://forum.ok-webhosting.de/forumdisplay.php?fid=13)
+--- Thema: Kritische Schwachstellen in Confixx Professional (/showthread.php?tid=123)
Kritische Schwachstellen in Confixx Professional - ok-webhosting - 12.04.2006
Sehr geehrte ok-webhosting Kunden,
heute, am 12.04.2006 wurde durch die Hacker-Gruppe LoK-Crew ein Exploit veröffentlicht durch den es möglich sein soll aufgrund unzureichender Filterung der Variablen "jahr" in der Statistik-Seite user/allgemein_transfer.php im Endkunden-Bereich beliebiger HTML-Code in die Ausgabe des Skriptes einzuschleusen.
Angreifer können mit Hilfe manipulierter Links so unter Umständen beispielsweise an Login-Informationen ihrer Opfer gelangen.
Ein ähnliches Problem existiert mit der Variablen "SID" in der Endkunden-Hauptseite user/index.php. Über diese lassen sich beliebige SQL-Befehle an den zugrunde liegenden Datenbankserver übermitteln, was einem Angreifer unter Umständen beliebigen Lese- und Schreibzugriff in der Datenbank ermöglicht.
Die Confixx-Entwicklerfirma SWsoft bestätigte die beiden Lücken gegenüber heise Security für die Versionen 3.1.2 und älter, eine Bugfix soll noch diese Woche Veröffentlichung finden.
Wichtig:
Unabhägig von einer in Aussicht gestellten Veröffentlichung des offiziellen Bugfix seites SW-Soft wurde der fehlerhafte "Schadcode" bereits beseitigt, so dass die o.g. Sicherheitslücken auf unseren Systemen nicht mehr zum tragen kommen.
Weitere Details zur o.g. Sicherheitslücke finden Sie unter http://www.heise.de/newsticker/meldung/71956
- ok-webhosting - 13.04.2006
Sehr geehrte ok-webhosting Kunden,
die Confixx-Entwicklerfirma SWsoft hat mitterlweile ein offzielles Bugfix-Release veröffentlicht das auf unseren Systemen selbstverständlich entsprechend zeitnah eingespielt wurde!