Sonstiges: WARNUNG - CH Gästebuch / Schwere Sicherheitslücke entdeckt - WARNUNG

Hi - sen sowie Moinsen.

Ich habe leider eine schwere Sicherheitslücke im Computerhilfen Gästebuch Version 1.61 gefunden. Sie erlaubt den Zugriff auf den Admin-Bereich, auch wenn man ausgelogged ist.

Beispiel:


Ich klicke im Administrationsbereich auf einen Website-Link eines Users. Der Referrer Link verrät nun den Link zum Admin-Bereich inklusive PHPSSID. Wäre ja alles nicht schlimm,  wenn diese PHPSSID ihre Gültigkeit umgehend nach dem Ausloggen verlieren würde.

Das tut sie aber nicht. Mein Freund hat diese Lücke über einen verlinkten Pennergame Spendenlink gefunden, auf diesen ich vom Admin-Bereich aus geklickt hatte.

Gut, dass er die Lücke gemeldet hat. Es hätte auch anders ausgehen können, denn mein Admin-Bereich hat viele Funktionen nachgerüstet bekommen, wie z.B. ein kleines CMS.

Ich habe dieses Problem wie folgt behoben:

-Admin-Ordner über HTACCESS geschützt
-Ursprüngliches Sicherheitssystem entfernt

Ich hoffe, dass dieses Problem umgehend behoben wird und dass es zu keinen Schäden kommt.

Danke!

Weil es um das CH Gästebuch Script geht. Und da sind Schwoebel und ein paar andere für zuständig.

Außerdem: Für alle Nutzer des Scripts schonmal eine Warnung, denn es betrifft eher die Webseiten der Betroffenen als CH.

Ich hab jetzt eine Version hochgeladen, bei der der Fehler beseitigt ist. Die Sessions werden jetzt ordnungsgemäß beendet.
Die Änderungen sind sowohl in der 1er als auch in der 2er Beta übernommen:

Zum Download

Ansonsten sind die Versionen jedoch noch exakt gleich, also erstmal nicht verwirren lassen durch die neue Versionsnummer.