14.06.2006, 11:04:06
Durch eine Lücke in Coppermine Photo Gallery können Angreifer eine SQL-Injection-Attacke vornehmen.
Eingaben über die HTTP-Header "referer" und "user-agent" werden vor der Verwendung in einer SQL-Abfrage nicht ausreichend bereinigt. Dies kann der Angreifer ausnutzen um SQL-Abfragen durch Einspeisen beliebigen SQL-Codes zu manipulieren.
Die Sicherheitslücken sind bestätigt für Version 1.4.8. Andere Versionen könnten jedoch ebenfalls betroffen sein.
Lösung
Ändern Sie den Quelltext dahingehend ab, dass Eingaben ausreichend bereinigt werden bzw. installieren Sie ein Sicherheitsfix, dass sehr wahrscheinlich innerhalb der nächsten Tage veröffentlicht wird.
Eingaben über die HTTP-Header "referer" und "user-agent" werden vor der Verwendung in einer SQL-Abfrage nicht ausreichend bereinigt. Dies kann der Angreifer ausnutzen um SQL-Abfragen durch Einspeisen beliebigen SQL-Codes zu manipulieren.
Die Sicherheitslücken sind bestätigt für Version 1.4.8. Andere Versionen könnten jedoch ebenfalls betroffen sein.
Lösung
Ändern Sie den Quelltext dahingehend ab, dass Eingaben ausreichend bereinigt werden bzw. installieren Sie ein Sicherheitsfix, dass sehr wahrscheinlich innerhalb der nächsten Tage veröffentlicht wird.
Mit freundlichen Grüßen / Best Regards
Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg
Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de
Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg
Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de