Computerhilfen.de

Design und Entwicklung => Webmaster Forum & Hilfe => Thema gestartet von: MR am 10.10.08, 19:36:37

Titel: Sonstiges: WARNUNG - CH Gästebuch / Schwere Sicherheitslücke entdeckt - WARNUNG
Beitrag von: MR am 10.10.08, 19:36:37

Hi - sen sowie Moinsen.

Ich habe leider eine schwere Sicherheitslücke im Computerhilfen Gästebuch Version 1.61 gefunden. Sie erlaubt den Zugriff auf den Admin-Bereich, auch wenn man ausgelogged ist.

Beispiel:


Ich klicke im Administrationsbereich auf einen Website-Link eines Users. Der Referrer Link verrät nun den Link zum Admin-Bereich inklusive PHPSSID. Wäre ja alles nicht schlimm,  wenn diese PHPSSID ihre Gültigkeit umgehend nach dem Ausloggen verlieren würde.

Das tut sie aber nicht. Mein Freund hat diese Lücke über einen verlinkten Pennergame Spendenlink gefunden, auf diesen ich vom Admin-Bereich aus geklickt hatte.

Gut, dass er die Lücke gemeldet hat. Es hätte auch anders ausgehen können, denn mein Admin-Bereich hat viele Funktionen nachgerüstet bekommen, wie z.B. ein kleines CMS.

Ich habe dieses Problem wie folgt behoben:

-Admin-Ordner über HTACCESS geschützt
-Ursprüngliches Sicherheitssystem entfernt

Ich hoffe, dass dieses Problem umgehend behoben wird und dass es zu keinen Schäden kommt.

Danke!

Titel: Re: Sonstiges: WARNUNG - CH Gästebuch / Schwere Sicherheitslücke entdeckt - WARN
Beitrag von: zeepaard am 10.10.08, 19:42:02

Warum schreibst Du keine PN an Nico, wenn es ein "Sicherheitsproblem" darstellt.
Erstmal Groß-Alarm auslösen ?

Oder Mr. Wichtig sein ? :D

Verstehe Deine Reihenfolge nicht. ::)


Trotzdem danke für die Entdeckung  :) -
Form follows the funktion, sagte schon Mies van der Rohe ( Architekt).

Titel: Re: Sonstiges: WARNUNG - CH Gästebuch / Schwere Sicherheitslücke entdeckt - WARNUNG
Beitrag von: MR am 10.10.08, 20:20:40

Zitat von: zeep am 10.10.08, 19:42:02

Warum schreibst Du keine PN an Nico, wenn es ein "Sicherheitsproblem" darstellt.
Erstmal Groß-Alarm auslösen ?

Weil es um das CH Gästebuch Script geht. Und da sind Schwoebel und ein paar andere für zuständig.

Außerdem: Für alle Nutzer des Scripts schonmal eine Warnung, denn es betrifft eher die Webseiten der Betroffenen als CH. ;)

Titel: Re: Sonstiges: WARNUNG - CH Gästebuch / Schwere Sicherheitslücke entdeckt - WARNUNG
Beitrag von: Dr.Nope am 10.10.08, 20:29:56

Schreib mal Schwoebel eine PM... das wäre dann ja sowieso im Webmaster-Bereich besser als hier. Denkt ja jeder es gehe um das Foren-Gästebuch.

Titel: Re: Sonstiges: WARNUNG - CH Gästebuch / Schwere Sicherheitslücke entdeckt - WARNUNG
Beitrag von: Der olle Schwoebel am 15.10.08, 16:21:01

Ich hab jetzt eine Version hochgeladen, bei der der Fehler beseitigt ist. Die Sessions werden jetzt ordnungsgemäß beendet.
Die Änderungen sind sowohl in der 1er als auch in der 2er Beta übernommen:

Zum Download (http://www.computerhilfen.de/info/computerhilfen-gaestebuch.html)

Ansonsten sind die Versionen jedoch noch exakt gleich, also erstmal nicht verwirren lassen durch die neue Versionsnummer.