05.07.2006 11:00
Lücke in Zusatzmodul für Mambo-CMS
Anwender des Content-Management-Systems Mambo sollten unter Umständen die Konfiguration ihres Servers überprüfen, um die Sicherheit zu gewährleisten – falls sie das Zusatz-Modul Galleria einsetzen. Ein Fehler in Version 1.0 lässt sich nämlich ausnutzen, um den Server zu kompromittieren. Ursache des Problems ist die fehlende Filterung des Parameters mosConfig_absolute_path in galleria.html.php, über den ein Angreifer eigene PHP-Skripte einbinden und ausführen kann. Voraussetzung für einen erfolgreichen Angriff ist aber, dass die Option register_globals aktiviert ist. Eine sehr ähnliche Lücke wurde kürzlich auch im Modul CBSMS zum Verschicken von SMS-Nachrichten gefunden.
Sofern man ohnehin dabei ist, sein System zu checken, kann man auch darüber nachdenken, auf Mambo 4.6 RC2 zu wechseln, da dort nun die vergangene Woche bekannt gewordene SQL-Injection-Lücke geschlossen ist. Ein Patch für 4.6 RC1 und 4.5.x behebt das Problem ebenfalls.
Siehe dazu auch:
(dab)
- Mambo Galleria Module "mosConfig_absolute_path" File Inclusion, Fehlerbericht von Secunia
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
