Neue PostNuke-Version schließt Sicherheitslücke
In der Version 0.764 des PHP-Content-Management-Systems PostNuke wurde eine Schwachstelle beseitigt, über die es Angreifern möglich war, eigene PHP-Skripte einzufügen und mit den Rechten des Webservers auszuführen.
Ursache des Problems war laut Fehlerbericht die fehlende Filterung der
Variablem PNSVlang im Modul error.php, über die Directory Traversal
möglich war, also der Ausbruch aus den vom System vorgegebenen
Standardpfaden. Allerdings ließen sich über die Lücke nur lokal
abgelegte PHP-Skripte einbinden und ausführen, was weitere Schritte für
einen erfolgreichen Angriff erfordert. (via heise ){moscomment}
- Bewertung:
(No Ratings Yet)- Aufrufe:
- Gelesen: 509 · heute: 0 · zuletzt: Freitag, 22. April 2011 - 14:46
- Info:
- Neue PostNuke-Version schließt Sicherheitslücke ist Beitrag Nr. 237
- Autor:
- opencm.de am 24. November 2006 um 13:28
- Category:
- Alle News
- Tags:
- Trackback:
- Trackback URI
