|
vBulletin 3 Sicherheitslücke - SQL-Injection möglich Veröffentlichung 15.09.2004 Warnstufe Kritisch Auswirkung Veränderung von Daten Angriffsweg von extern OS betriebssystemunabhängig Software vBulletin 3.x Beschreibung Zitat:
Lösung Ändern Sie den Quelltext dahingehend ab, dass Eingaben ausreichend bereinigt werden. Quelle: http://www.tecchannel.de/sicherheit/reports/3798.html :) |
..... |
is ja looolig :D Zitat:
|
Sowas mag ich ja überhaupt nicht, wenn die dem Hersteller keine Zeit geben ein Hotfix rauszubringen. |
Du kannst davon ausgehen, dass die Leute die sowas entdecken bzw. es veröffentlichen keine Entwickler sind und die Probleme die dadurch entstehen nicht nachvollziehen können. Ich hab es mal ans vB Team gemeldet :) |
..... |
Kann man so nicht direkt sagen, es würde zeitlich mit dem Patch zusammenfallen allerdings gehen die da nicht davon aus, dass er kritisch ist. Mal gucken was Jo mir antwortet :) |
Werden bei vB nicht alle GET/POST-Parameter von einer zentralen Funktion geprüft? Dachte mich an sowas zu erinnern... |
Jepp eigentlich schon und der Fehler war dem vB Team noch nicht bekannt. Steve hatte mir aber gestern Abend noch geschrieben, dass es keine kritische Lücke sei und er meint, der kürzlich veröffentlichte Fix würde es beheben (wie rellek schon schrieb). :) |
Zitat:
mfg |
Zitat:
Viele Grüße hj |
*malblödfrage* Empfiehlt es sich die alte "authorize"-php zu löschen, oder kann ich die neue einfach drüberspielen? mfg |
Zitat:
Viele Grüße hj |
Oki - thx, hj. mfg |
Wenn man keine Bezahlabos anbietet, dann würde ich die authorize.php gleich löschen. Was nicht gebraucht wird, muss man dann nicht "sicher" machen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:14 Uhr. |