Kritische Schwachstellen in Confixx Professional

Dieses Thema im Forum "Pressemitteilungen" wurde erstellt von gswebdesign, 12. April 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. gswebdesign

    gswebdesign Eingetragener Provider

    Registriert seit:
    13. November 2001
    Beiträge:
    270
    Firmenname:
    GS Webdesign
    Anbieterprofil:
    Klick
    Folgendes gab Heise heute bekannt:

    Die Hacker-Gruppe LoK-Crew[1] hat auf der Mailingliste Bugtraq Details über zwei Sicherheitslücken in der Verwaltungssoftware für Webserver Confixx Professional[3][2] veröffentlicht. Demnach lässt sich aufgrund unzureichender Filterung der Variablen jahr in der Statistik-Seite user/allgemein_transfer.php im Endkunden-Bereich beliebiger HTML-Code in die Ausgabe des Skriptes einschleusen. Angreifer können mit Hilfe manipulierter Links unter Umständen beispielsweise an Login-Informationen ihrer Opfer gelangen. Ein ähnliches Problem existiert mit der Variablen SID in der Endkunden-Hauptseite user/index.php. Über diese lassen sich sogar beliebige SQL-Befehle an den zugrunde liegenden Datenbankserver übermitteln, was einem Angreifer unter Umständen beliebigen Lese- und Schreibzugriff in der Datenbank ermöglicht.

    Die Confixx-Entwicklerfirma SWsoft bestätigte die beiden Lücken gegenüber heise Security für die Versionen 3.1.2 und älter. Die Versionen der 2er-Serie seien ebenfalls betroffen, es sei dabei jedoch schwieriger, die Lücken ausnutzen.

    Nähere Informationen finden Sie unter http://www.heise.de/pda/newsticker/m71956.html
    ----------------------------------------------------------------
    Nachricht an Admin, bitte in Nachrichten verschieben. DANKE :)
     
  2. abra-x-as

    abra-x-as Guest

  3. gswebdesign

    gswebdesign Eingetragener Provider

    Registriert seit:
    13. November 2001
    Beiträge:
    270
    Firmenname:
    GS Webdesign
    Anbieterprofil:
    Klick
    AW: Kritische Schwachstellen in Confixx Professional

    Oh,

    da war ich wohl zu spät :eek:)

    Danke für die die Info, ich habe eine mögliche Lösung gepostet.

    Gruß

    Georg
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen