17.07.2006, 19:34:09
Ueber eine Schwachstelle in der Mambo-Komponente SiteMap koennen Angreifer das
System kompromittieren.
Eingaben ueber den Parameter "mosConfig_absolute_path" in components/com_
sitemap/sitemap.xml.php werden vor der Verwendung zum Einbinden von Dateien
nicht ausreichend ueberprueft. Dies kann der Angreifer ausnutzen und beliebige
Dateien einspeisen.
Ein erfolgreicher Angriff setzt voraus, dass "register_globals" aktiviert ist.
Die Sicherheitsluecke ist bestaetigt fuer die Version 2.0. Andere Versionen
koennten jedoch ebenfalls betroffen sein.
Loesung:
Aendern Sie den Quelltext dahingehend ab, dass Eingaben ausreichend ueberprueft
werden.
Setzen Sie "register_globals" auf "Off" (auf allen ok-webhosting Systemen standardmäßig der Fall).
System kompromittieren.
Eingaben ueber den Parameter "mosConfig_absolute_path" in components/com_
sitemap/sitemap.xml.php werden vor der Verwendung zum Einbinden von Dateien
nicht ausreichend ueberprueft. Dies kann der Angreifer ausnutzen und beliebige
Dateien einspeisen.
Ein erfolgreicher Angriff setzt voraus, dass "register_globals" aktiviert ist.
Die Sicherheitsluecke ist bestaetigt fuer die Version 2.0. Andere Versionen
koennten jedoch ebenfalls betroffen sein.
Loesung:
Aendern Sie den Quelltext dahingehend ab, dass Eingaben ausreichend ueberprueft
werden.
Setzen Sie "register_globals" auf "Off" (auf allen ok-webhosting Systemen standardmäßig der Fall).
Mit freundlichen Grüßen / Best Regards
Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg
Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de
Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg
Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de