+- ok-webhosting Forum (https://forum.ok-webhosting.de)
+-- Forum: Allgemein (https://forum.ok-webhosting.de/forumdisplay.php?fid=3)
+--- Forum: Security (https://forum.ok-webhosting.de/forumdisplay.php?fid=10)
+--- Thema: Coppermine Gallery - SQL-Injection-Attacke (/showthread.php?tid=132)
Coppermine Gallery - SQL-Injection-Attacke - ok-webhosting - 14.06.2006
Durch eine Lücke in Coppermine Photo Gallery können Angreifer eine SQL-Injection-Attacke vornehmen.
Eingaben über die HTTP-Header "referer" und "user-agent" werden vor der Verwendung in einer SQL-Abfrage nicht ausreichend bereinigt. Dies kann der Angreifer ausnutzen um SQL-Abfragen durch Einspeisen beliebigen SQL-Codes zu manipulieren.
Die Sicherheitslücken sind bestätigt für Version 1.4.8. Andere Versionen könnten jedoch ebenfalls betroffen sein.
Lösung
Ändern Sie den Quelltext dahingehend ab, dass Eingaben ausreichend bereinigt werden bzw. installieren Sie ein Sicherheitsfix, dass sehr wahrscheinlich innerhalb der nächsten Tage veröffentlicht wird.