News Index
Fortress™ und Union-Tap
Fortress™ und Union-Tap, der neue phpNuke-Sicherheitsfix von den nukeCops wird mit vielversprechenden Worten beworben.Die zur Zeit aktuelle Downloadversion habe ich etwas näher analysiert und versuche anhand des Codes zu erklären, warum das Teil so gut wie nichts gegen Hackerattacken bewirken kann.
Der Code von Union-tap wurde sogar in die neuste phpNuke-Version 7.3 integriert.
Diese Entwicklung sollte ein weiterer Grund sein, auf eines der bekannten deutschen vkp's zu setzen und phpNuke endgültig den Rücken zu kehren.
Link: http://vkp.shiba.de/doku/fortress.htm
Sicherheitslöcher in nukeCalendar 1.1.x und sonstigen Kalendern
Es wurden in den älteren Kalenderversionen mehrere Sicherheitslöcher entdeckt und auf den einschlägigen security-Seiten veröffentlicht. Angesprochen wurde dort nur die Version 1.1.a meines nukeCalendar. Leider muss ich die dort aufgeführten Probleme teilweise bestätigen.
1.: "Full path disclosure"
stimmt teilweise, das Problem besteht in den scripten. Das Problem in den Blöcken besteht allerdings nicht in den Blöcken des nukeCalendar 1.1. Hier sind Blöcke angesprochen, die nie in einem Paket von mir dabei waren.
2.: "Cross-Site Scripting aka XSS"
stimmt, das Problem besteht
3.: "Sql injection"
stimmt, das Problem besteht
Da auf den Securityseiten gleich die passenden Hackerbeispiele mitgeliefert wurden, ist in Zukunft mit gehäuften Hackversuchen zu rechnen.
Da viele Eventkalender für phpNuke die gleiche Basis haben, nämlich den eventCalendar 2.0 von Rob Sutton, ist anzunehmen, dass auch diese Module betroffen sind.
Aufgrund dieser Probleme empfehle ich dringenst ein Update auf die Version KalenderMx 1.4. Die Sicherheitslöcher wurden bereits mit der Version 1.2(vkpMx) & 1.3 behoben.
90 Articles (45 pages, 2 Articles per Page)
Sprachen
Select Interface Language:
