Wie bereits Anfang Dezember bekannt wurde, enthält die beliebte Open-Souce Groupware-Suite PHProjekt einen kritischen Fehler in der Setup-Routine. Laut dem Sicherheitsdienstleister M. Münch (it-sec.de (Link 1)) ist es möglich, mit einem standardmäßig angelegten Test-Account beliebige PHP-Skripte hochzuladen und zu starten. Über die Konfiguration der Installation können dann nachträglich Admin-Datei (Link 2)-Rechte verändert werden. Dieser Fehler befindet sich in allen Versionen von PHProjekt, aber durch eine neue Setup-Datei (Link 3) (setup.php) lässt sich diese Lücke beseitigen.
Nun wurde eine weitere Lücke bekannt:
Die Login-Funktion (authform.inc.php erlaubt durch das Manipulieren des Parameters -path_pre- beliebige externe Skripte einzubinden und auszuführen, wenn das -register_globals- aktiviert ist. Diese Lücke ist in der Version 4.2.3 geschlossen.
|
