Kritische Schwachstellen in Confixx Professional - Druckversion +- ok-webhosting Forum (https://forum.ok-webhosting.de) +-- Forum: Technik-Foren (https://forum.ok-webhosting.de/forumdisplay.php?fid=4) +--- Forum: Confixx (https://forum.ok-webhosting.de/forumdisplay.php?fid=13) +--- Thema: Kritische Schwachstellen in Confixx Professional (/showthread.php?tid=123) |
Kritische Schwachstellen in Confixx Professional - ok-webhosting - 12.04.2006 Sehr geehrte ok-webhosting Kunden, heute, am 12.04.2006 wurde durch die Hacker-Gruppe LoK-Crew ein Exploit veröffentlicht durch den es möglich sein soll aufgrund unzureichender Filterung der Variablen "jahr" in der Statistik-Seite user/allgemein_transfer.php im Endkunden-Bereich beliebiger HTML-Code in die Ausgabe des Skriptes einzuschleusen. Angreifer können mit Hilfe manipulierter Links so unter Umständen beispielsweise an Login-Informationen ihrer Opfer gelangen. Ein ähnliches Problem existiert mit der Variablen "SID" in der Endkunden-Hauptseite user/index.php. Über diese lassen sich beliebige SQL-Befehle an den zugrunde liegenden Datenbankserver übermitteln, was einem Angreifer unter Umständen beliebigen Lese- und Schreibzugriff in der Datenbank ermöglicht. Die Confixx-Entwicklerfirma SWsoft bestätigte die beiden Lücken gegenüber heise Security für die Versionen 3.1.2 und älter, eine Bugfix soll noch diese Woche Veröffentlichung finden. Wichtig: Unabhägig von einer in Aussicht gestellten Veröffentlichung des offiziellen Bugfix seites SW-Soft wurde der fehlerhafte "Schadcode" bereits beseitigt, so dass die o.g. Sicherheitslücken auf unseren Systemen nicht mehr zum tragen kommen. Weitere Details zur o.g. Sicherheitslücke finden Sie unter http://www.heise.de/newsticker/meldung/71956 - ok-webhosting - 13.04.2006 Sehr geehrte ok-webhosting Kunden, die Confixx-Entwicklerfirma SWsoft hat mitterlweile ein offzielles Bugfix-Release veröffentlicht das auf unseren Systemen selbstverständlich entsprechend zeitnah eingespielt wurde! |