DVB-Cube <<< Das deutsche PC und DVB-Forum >>>
PC-Ecke => # Security Center => Thema gestartet von: SiLæncer am 09 Januar, 2006, 17:19
-
Die Entwickler des Content-Management-Systems Postnuke weisen auf eine Schwachstelle in der mitgelieferten Datenbank-Abstraktionsschicht adobdb hin, mit der Angreifer beliebige SQL-Befehle an die Datenbank übergeben und ausführen können. Allerdings sollte das Problem nach Angaben von Andreas Krapohl vom Postnuke-Entwicklungsteam bei den wenigsten Installationen zum Tragen kommen: Betroffen sind nämlich nur Systeme, bei denen der Zugriff auf die Datenbank mit dem Nutzer "root" ohne Kennwort erfolgt.
Als Workaround sollten Administratoren folgende Dateien und Ordner entfernen:
/includes/classes/adodb/server.php
/includes/classes/adodb/cute_icons _for_site
/includes/classes/adodb/PEAR
/includes/classes/adodb/contrib
/includes/classes/adodb/session/old
/includes/classes/adodb/tests
Darüberhinaus sollte der gesamte Zugriff auf das Verzeichnis /includes/classes per .htaccess blockiert werden. Alternativ stehen auch aktualisierte Installations-Pakete zur Verfügung.
Siehe dazu auch:
* Arbitrary SQL code execution via adodb , Fehlerreport auf Postnuke.com
Quelle und Links : http://www.heise.de/security/news/meldung/68149