Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Kritische Schwachstellen in Confixx Professional
#1
Sehr geehrte ok-webhosting Kunden,

heute, am 12.04.2006 wurde durch die Hacker-Gruppe LoK-Crew ein Exploit veröffentlicht durch den es möglich sein soll aufgrund unzureichender Filterung der Variablen "jahr" in der Statistik-Seite user/allgemein_transfer.php im Endkunden-Bereich beliebiger HTML-Code in die Ausgabe des Skriptes einzuschleusen.

Angreifer können mit Hilfe manipulierter Links so unter Umständen beispielsweise an Login-Informationen ihrer Opfer gelangen.

Ein ähnliches Problem existiert mit der Variablen "SID" in der Endkunden-Hauptseite user/index.php. Über diese lassen sich beliebige SQL-Befehle an den zugrunde liegenden Datenbankserver übermitteln, was einem Angreifer unter Umständen beliebigen Lese- und Schreibzugriff in der Datenbank ermöglicht.

Die Confixx-Entwicklerfirma SWsoft bestätigte die beiden Lücken gegenüber heise Security für die Versionen 3.1.2 und älter, eine Bugfix soll noch diese Woche Veröffentlichung finden.

Wichtig:

Unabhägig von einer in Aussicht gestellten Veröffentlichung des offiziellen Bugfix seites SW-Soft wurde der fehlerhafte "Schadcode" bereits beseitigt, so dass die o.g. Sicherheitslücken auf unseren Systemen nicht mehr zum tragen kommen.


Weitere Details zur o.g. Sicherheitslücke finden Sie unter http://www.heise.de/newsticker/meldung/71956
Mit freundlichen Grüßen / Best Regards

Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg

Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de


Nachrichten in diesem Thema
Kritische Schwachstellen in Confixx Professional - von ok-webhosting - 12.04.2006, 21:18:02
[Kein Betreff] - von ok-webhosting - 13.04.2006, 02:01:44

Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste