Navigation

Suche

Nichts gefunden?
Suche mit erweiterten Optionen.

Anzeigen

Camp Zikula 2008

23.-24.08.2008,
Bingen

Anmeldung / Registration

Informationen

Wiki

Anmeldung

Download

Aktuelle Version
Zikula 1.0.0

Dt. Sprachpakete Download

SVN Nightly Builds
Zikula SVN Build

Artikel-Archiv

nach Kategorie: Buch-Tipps.; CMS Allgemein.; CMS Anleitungen.; CMS Blöcke.; CMS Interview.; CMS Module.; CMS Sicherheit.; CMS Themes.; pnMeeting.; PostNuke e.V..; Steering Committee.

nach Datum: Juli 2008.; Juni 2008.; Mai 2008.; April 2008.; März 2008.; Februar 2008.; Januar 2008.; Dezember 2007.; November 2007.; Oktober 2007.; September 2007.; August 2007.

PostSchedule anfällig für SQL Injection

Montag, 28. April 2008, 4 Kommentare

geschrieben von

Landseer
Frank Schummertz
Dabei seit: 2003
Benutzerprofil
PM senden

Diesen Artikel...
per E-Mail versenden
drucken
bookmarken

CMS Sicherheit : Wer in den letzten Tagen diese Diskussion verfolgt sollte bereits vorgewarnt sein. Das Kalendermodul PostSchedule ist anfällig für eine SQL-Injection,die bereits kräftig ausgenutzt wird.

Als schnelle Hilfe haben wir in unseren Downloads (hier) eeine überarbeitete pnuserapi.php bereitgestellt. Langfristig sollte man aber lieber einen kompletten Ersatz des Moduls ins Auge fassen.

Ein einfaches Deaktivieren des Moduls reicht nicht aus, man muss die Dateien komplett vom Server entfernen!

Für .764 kommen als Ersatz pgcalendar oder PostCalendar in Frage, unter .8 wären da crpCalendar, Eventliner oder TimeIt zu nennen, die einen Blick wert sind.

Wir übernehmen damit keinerlei Support für PostSchedule, die Benutzung der geänderten Datei erfolgt auf eigene Gefahr. Sie kann (oder auch nicht) den Fehler beheben und da könnten noch weitere Schwachstellen im Code versteckt sein.

Danke an FrankyB und joggel für die Bereitstellung von Logdateien der gehackten Seiten.

Kommentare

Nur angemeldete Benutzer dürfen Kommentare verfassen.

Zur Registrierung/Anmeldung

Welche "alten" Module sind die nächsten?

Ist schon schwierig für uns Otto-Normal-User die richtigen Module auszuwählen. Das was heute noch entwickelt wird, kann morgen schon aufgegeben werden. Das bekommt man womöglich nicht mit. Schon kann es passiert sein. mal sehen, ob wir auf dem pnMeeting dazu Ideen entwickeln können.
Gruß,
Ralf
P.S.: Das ist ein versteckter Aufruf an die Anwender, sich auch für das Meeting anzumelden

rallek am 28.04.2008 um 21:28 Uhr

Hinweis

Ich fände eine Hinweis an dieser Stelle gut: http://support....ticle550.htm . Auch könnten die dortigen Links schön gemacht werden

mike12 am 29.04.2008 um 08:57 Uhr

Internet

Software-Entwicklung, gerade OpenSource-Entwicklung ist eine dynamische Angelegenheit. Vor allem bei so modularen Systemen wie einem CMS muss man sich mitbewegen, wenn man nicht abgehängt werden will. Das ist kein Postnuke spezifisches Problem: Bei Ubuntu z.B. werden mit jedem Update auch einige Programme durch andere ersetzt. Da muss man sich dann auch daran gewöhnen, dass CDs nicht mehr mit Serpentine sondern mit Brasero gebrannt werden. In einem solchen Fall ist das natürlich einfach. Man muss sich ja nur an eine andere Bedienung gewöhnen. Bei einem CMS muss man dann noch die Inhalte migrieren. Das ist dann natürlich nicht immer so einfach. Ich glaube einfach, dass Du davor nicht sicher sein kannst. Selbst wenn ein Modul mal ne zeitlang nicht weiterentwickelt wird, kann es ja später jemand anderer aufnehmen - siehste ja bei Pagesetter und PostCalendar. Und Sicherheitslücken kann es auch in nagelneuen Modulen geben.

kaffeeringe.de am 29.04.2008 um 11:30 Uhr

Wird wohl ständig versucht...

Ich habe mal in die Logfiles von den Tagen nach dem Hack geschaut - das selbe wurde auch bei anderen Modulen probiert.

Joggel am 30.04.2008 um 19:06 Uhr