Loginbox
Trage bitte in die nachfolgenden Felder Deinen Benutzernamen und Kennwort ein, um Dich einzuloggen.
Sicherheitslücke in PHP-CGI
Huhu,
kontaktiere umgehend Deinen Provider er soll den nötigen PHP Patch einspielen oder einen Filter bei Dir einrichten.
Rein vom CF3 her hast Du jedoch kein Sicherheitsproblem: Das CF3 sperrt von Haus aus den Ordner, in dem die config.php mit den Datenbank Zugangsdaten drinliegt.
LG,
Chris
kontaktiere umgehend Deinen Provider er soll den nötigen PHP Patch einspielen oder einen Filter bei Dir einrichten.
Rein vom CF3 her hast Du jedoch kein Sicherheitsproblem: Das CF3 sperrt von Haus aus den Ordner, in dem die config.php mit den Datenbank Zugangsdaten drinliegt.
LG,
Chris
CBACK Forum kaufen | individuelles Webdesign | PHP & Pluginentwicklung | Projektpflege
KEIN Support per PM, Mail oder Messenger! - Denk an die Community!
NO Support via PM, Mail or Messenger! - Remember the Community
KEIN Support per PM, Mail oder Messenger! - Denk an die Community!
NO Support via PM, Mail or Messenger! - Remember the Community
Niederwil
Danke Chris, werde ich umgehend tun, denke aber vor Montag geht eh nix bei denen 
Nachtrag 1
Hm bei mir ist die PHP Version auf dem Server die version 5.2.9
Dann bestand das Problem also schon lange.
habe das mal ausprobiert. Also auf die config.php vom CF3 kann mit diesem Parameter nicht zugegriffen werden. Da kommt Access Denied
Dann habe ich es noch mit der config.php vom mySQLDumper getestet. Da kommt dann nur die Benutzername und Passwortabfrage
Nachtrag 2
Der Hoster hat bereits reagiert. Nun erscheint beim Aufruf mit /?-s folgende Meldung:
Forbidden
You don't have permission to access /index.php/ on this server.
Apache/1.3.36 Server at www.wow-black-dragon.ch Port 80
Nachtrag 1
Hm bei mir ist die PHP Version auf dem Server die version 5.2.9
Dann bestand das Problem also schon lange.
habe das mal ausprobiert. Also auf die config.php vom CF3 kann mit diesem Parameter nicht zugegriffen werden. Da kommt Access Denied
Dann habe ich es noch mit der config.php vom mySQLDumper getestet. Da kommt dann nur die Benutzername und Passwortabfrage
Nachtrag 2
Der Hoster hat bereits reagiert. Nun erscheint beim Aufruf mit /?-s folgende Meldung:
Forbidden
You don't have permission to access /index.php/ on this server.
Apache/1.3.36 Server at www.wow-black-dragon.ch Port 80
Dieser Post wurde 4 mal bearbeitet. Letzte Editierung: 05.05.2012 - 14:50 Uhr von Gizor.
Grund der Editierung: Nachträge erstellt
Zitat
habe das mal ausprobiert. Also auf die config.php vom CF3 kann mit diesem Parameter nicht zugegriffen werden. Da kommt Access Denied
Im Standardpaket vom CF3 liegt in den sensiblen Ordnern (classes, includes, etc.) eine .htaccess die das Verzeichnis vor Direktaufruf sperrt. Daher hatten die Benutzer des CF3 trotz der Lücke Glück. Andere Hersteller packen die config.php manchmal in den Root oder in ein ungeschütztes Subverzeichnis, da könnte man dann die DB Daten auslesen. CF3 Kunden, die unsere Standard .htaccess gelöscht oder geändert haben wären dann auch betroffen.
Aber Forbidden sieht gut aus, dann hat Dein Hoster jetzt einen Filter eingebaut.
LG,
Chris
CBACK Forum kaufen | individuelles Webdesign | PHP & Pluginentwicklung | Projektpflege
KEIN Support per PM, Mail oder Messenger! - Denk an die Community!
NO Support via PM, Mail or Messenger! - Remember the Community
KEIN Support per PM, Mail oder Messenger! - Denk an die Community!
NO Support via PM, Mail or Messenger! - Remember the Community
Jup, war am Samstag bereits erledigt Und zum Glück haben wir CF3, da kommt kein böser Bube rein
Und zum Glück haben wir CF3, da kommt kein böser Bube rein
Fragz 
koffeeinsuechtiger coding freak
Geschlecht: 
Herkunft:
Neuss
Alter: 27
Beiträge: 1521
Dabei seit: 03 / 2008
koffeeinsuechtiger coding freak
Herkunft:
NeussAlter: 27
Beiträge: 1521
Dabei seit: 03 / 2008
Hallo,
Kleine Information.
Quelle: heise.de
Bleibt zu hoffen das diese Änderung bald auch bei den Offiziellen Repos zustande kommen.
Kleine Information.
Zitat
Mit den jetzt veröffentlichten Versionen 5.3.13 und 5.4.3 versprechen die Entwickler erneut, die Lücke geschlossen zu haben – und ersten Tests des PHP-Experten Christopher Kunz zufolge wird das Versprechen dieses Mal auch gehalten. Darüber hinaus wurde im 5.4er-Zweig ein Buffer-Overflow behoben, der sich in der Funktion apache_request_headers befindet. Auch zu dieser Lücke findet man bereits seit Ende vergangener Woche konkrete Details im Netz. Laut dem Sicherheitsexperten Georg Wicherski handelt es sich hierbei um einen Speicherüberlauf auf dem Stack, der sich nur auf Systemen ausnutzen lässt, auf denen PHP im CGI-Mode läuft. Die Schwachstelle lässt sich unter anderen in Kombination mit dem Webserver lighttpd ausnutzen.
Quelle: heise.de
Bleibt zu hoffen das diese Änderung bald auch bei den Offiziellen Repos zustande kommen.
 |
Registrierte in diesem Topic Aktuell kein registrierter in diesem Bereich |
Cookies von diesem Forum entfernen
•
FAQ / Hilfe
•
Teamseite
|
Aktuelle Ortszeit: 24.05.2013 - 08:51