+- ok-webhosting Forum (https://forum.ok-webhosting.de)
+-- Forum: Allgemein (https://forum.ok-webhosting.de/forumdisplay.php?fid=3)
+--- Forum: Security (https://forum.ok-webhosting.de/forumdisplay.php?fid=10)
+--- Thema: Mambo Galleria Modul - Einspeisen von Dateien (/showthread.php?tid=144)
Mambo Galleria Modul - Einspeisen von Dateien - ok-webhosting - 06.07.2006
Ueber eine Schwachstelle im Galleria Modul fuer Mambo koennen Angreifer das System kompromittieren.
Eingaben ueber den Parameter "mosConfig_absolute_path" in galleria.html.php werden vor der Verwendung zum Einbinden von Dateien nicht ausreichend ueberprueft. Dies kann der Angreifer ausnutzen und beliebige Dateien einspeisen.
Ein erfolgreicher Angriff setzt voraus, dass "register_globals" aktiviert ist.
Die Sicherheitsluecke ist bestaetigt fuer die Version 1.0. Andere Versionen
koennten jedoch ebenfalls betroffen sein.
Loesung:
Aendern Sie den Quelltext dahingehend ab, dass Eingaben ausreichend ueberprueft
werden.
Setzen Sie "register_globals" auf "Off" (auf allen ok-webhosting Systemen standardmäßig der Fall).