| Jan Stöver | 04.07.2005 22:49 |
Sicherheitslücken Workaround e107
Die fehlende Filterung von Benutzerangaben in den Dateien doping.php und dotrace.php hat zur Folge, dass Angreifer Shell Befehle über die Plugins eping und etrace durch das Netzwerk schicken können.
Einen Bugfix bzw. Patch suchte man anfangs vergebens und musste auf einen relativ umständlichen Workaround ausweichen. Mittlerweile gibt es die überarbeiteten Plugins. Zitat:
The new Etrace v1.02 and Eping v1.02 have now been uploaded to E107coders,
These new realeases cover the preveously discovered security vunrability,
Secunia Advisory: SA15678 dated 13 June 2005.
These releases also include an extra userclass security function, for an extra level of protection.
| | 