Links MOD 1.2.2 Remote SQL Injection Exploit

Sicherheit des Webservers, der Server und rund um phpBB
Antworten
Benutzeravatar
Dungeonwatcher
Beiträge: 1055
Registriert: Sa 19.Feb, 2005 01:16
Wohnort: Berlin
Kontaktdaten:

Links MOD 1.2.2 Remote SQL Injection Exploit

Beitrag von Dungeonwatcher »

Hi! :cool:

Es scheint hier irgendwie vorbeigegangen zu sein, das auch der o.a. Links MOD 1.2.2 den es hier im DL Bereich gibt ein Sicherheitsproblem hat. Es ist nämlich möglich den Hash des Admin-Paßworts aus der Datenbank auszulesen. Der Fix ist einfach:

Code: Alles auswählen

#
#-----[ OPEN ]------------------------------------------
#
links.php

#
#-----[ FIND ]------------------------------------------
#
$start = ( isset($_GET['start']) ) ? $_GET['start'] : 0;

#-----[OR]----------------------------------------------
$start = ( isset($HTTP_GET_VARS['start']) ) ? $HTTP_GET_VARS['start'] : 0;

#
#-----[ REPLACE WITH ]------------------------------
#
$start = ( isset($HTTP_GET_VARS['start']) ) ? intval($HTTP_GET_VARS['start']) : 0;
Wir sollten wohl alle ab und zu mal einen Blick auf http://www.milw0rm.com/ werfen und nach phpbb suchen. :eek:

Bye
Zuletzt geändert von Dungeonwatcher am Sa 29.Sep, 2007 12:09, insgesamt 1-mal geändert.
Benutzeravatar
beedy
Beiträge: 33
Registriert: Mo 03.Apr, 2006 19:07
Wohnort: Berlin
Kontaktdaten:

Beitrag von beedy »

Ich hab mir gerade mal die Seite angeschaut, da kann einem ja übel werden, wenn man das sieht...

Irgendwie kann einem da schon ein wenig die Lust vergehen, ein öffentliches Forum zu betreiben... :motz:


Gruß!

beedy
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Code: Alles auswählen

Es scheint hier irgendwie vorbeigegangen zu sein, das auch der o.a. Links MOD 1.2.2 den es hier im DL Bereich gibt ein Sicherheitsproblem hat
Nein, ist es nicht, aber ich korrigiere keine MODs, sondern stelle die, wenn überhaupt, nur im Original zur Verfügung!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Da ist dem gutem milw0rm aber noch etwas entgangen:

Code: Alles auswählen

#
#-----[ OPEN ]----------------------------------------------------------------
#

links.php

#
#-----[ FIND ]----------------------------------------------------------------
#

	$cat = ( isset($HTTP_POST_VARS['cat']) ) ? $HTTP_POST_VARS['cat'] : $HTTP_GET_VARS['cat'];

#
#-----[ REPLACE WITH ]--------------------------------------------------------
#

	$cat = ( isset($HTTP_POST_VARS['cat']) ) ? intval($HTTP_POST_VARS['cat']) : intval($HTTP_GET_VARS['cat']);

#
#-----[ SAVE/CLOSE ALL FILES ]------------------------------------------------
#
# EoM
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
Dungeonwatcher
Beiträge: 1055
Registriert: Sa 19.Feb, 2005 01:16
Wohnort: Berlin
Kontaktdaten:

Beitrag von Dungeonwatcher »

Hi! :cool:

[quote="AmigaLink";p="77216"]Da ist dem gutem milw0rm aber noch etwas entgangen:[/quote]

Wenn wir dich nicht hätten... ;) THNX
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Dann hätte es jemand anders gesehen. ;)
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
KeineAhnung
Beiträge: 349
Registriert: Di 29.Mai, 2007 17:35
Wohnort: NRW
Kontaktdaten:

Beitrag von KeineAhnung »

häts gegen das problem nicht einfach der CTracker gereicht ?
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Ja, schon, aber wenn der dann mal abgeschaltet wird, warum dann auch immer, ist die Lücke wieder da.
Und mal sollte sich auch nie auf "ein" Tool verlassen, sondern alle Lücken immer dort schliessen, wo sie auftauchen. Daher ist der Fix für den Links MOD schon dringend nötig...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Antworten