Sicherheitslöcher in nukeCalendar 1.1.x und sonstigen Kalendern
Es wurden in den älteren Kalenderversionen mehrere Sicherheitslöcher entdeckt und auf den einschlägigen security-Seiten veröffentlicht. Angesprochen wurde dort nur die Version 1.1.a meines nukeCalendar. Leider muss ich die dort aufgeführten Probleme teilweise bestätigen.
1.: "Full path disclosure"
stimmt teilweise, das Problem besteht in den scripten. Das Problem in den Blöcken besteht allerdings nicht in den Blöcken des nukeCalendar 1.1. Hier sind Blöcke angesprochen, die nie in einem Paket von mir dabei waren.
2.: "Cross-Site Scripting aka XSS"
stimmt, das Problem besteht
3.: "Sql injection"
stimmt, das Problem besteht
Da auf den Securityseiten gleich die passenden Hackerbeispiele mitgeliefert wurden, ist in Zukunft mit gehäuften Hackversuchen zu rechnen.
Da viele Eventkalender für phpNuke die gleiche Basis haben, nämlich den eventCalendar 2.0 von Rob Sutton, ist anzunehmen, dass auch diese Module betroffen sind.
Aufgrund dieser Probleme empfehle ich dringenst ein Update auf die Version KalenderMx 1.4. Die Sicherheitslöcher wurden bereits mit der Version 1.2(vkpMx) & 1.3 behoben.
Sicherheitslöcher in nukeCalendar 1.1.x und sonstigen Kalendern
Keine anonymen Kommentare möglich, bitte zuerst anmelden
Für den Inhalt der Kommentare sind die Verfasser verantwortlich.
