20080312179 | Joomla Komponente eWriting unsicher

Startseite

News/Blog

Joomla Komponente eWriting unsicher

Ahadesign.eu RSS

Letzte Kommentare

Webhosting Preisvergleich

Webhosting Vergleich
Ein Webhosting Vergleich sollte immer aktuell sein. Hier meine ich...

10/05/12 16:59 Mehr...

Von Daniela Fink

Galerie Plugin für Joomla!

Konflikt
Hallo Jenny, das könnte ein Konflikt mit einer anderen Erweiterung...

28/04/12 16:27 Mehr...

Von Ahadesign

Swoogle Webkatalog
Webkatalog
Webkatalog Geizfinder.de

Ahadesign.eu RSS

The Gimp 2.8.0
Datei-Icon

Mozilla Firefox 12
Datei-Icon

Mozilla Thunderbird 12
Datei-Icon

Joomla 2.5.4 Stable Update Paket
Datei-Icon

Deutsche Sprachdateien für Joomla 2.5.4

Perfektes Webhosting bei 1st-TEC zum kleinen Preis
Tutorials zu Wordpress, Flash und vielem mehr...

Ahadesign.eu RSS

Hohe Gewinne mit Textwerbung
Geld mit Website verdienen
kindermoebelparadies.de
Webkatalog Webweiser
mysniper.com
Badezimmermöbel
Casinospiele online spielen
Online Casinos
Online Roulette
Spielzeug

Ahadesign.eu RSS

Joomla Komponente eWriting unsicher

Geschrieben von MP, am 12-03-2008 09:15

Views

2499

Joomla Komponente eWriting unsicher

Die Joomla Komponente eWriting enthält eine schwerwiegende Sicherheitslücke. Angreifer könnten die Datenbank kompromittieren.

Joomla Komponente eWriting unsicher

Bei der Joomla-Komponente eWriting handelt es sich um eine Anwendung, mit der man Stories und Fanfictions erstellen und verwalten kann. Es können Geschichten geschrieben und in einzelne Kategorien unterteilt werden. Die Anwender können eigene Geschichten beisteuern, Kritiken hinterlassen und noch einige Features mehr.

Die Komponente scheint schon einige Jahre auf dem Buckel zu haben. Beim Entwickler kann man sich eine Anleitung in Englisch aus dem Jahre 2005 zu Gemüte führen.

Alle nötigen Dateien zur Komponente können hier heruntergeladen werden. Darunter sind Module, Iconsets, Sprachdateien und zusätzliche nützliche Sachen. So gibt es zum Beispiel einen Joomlaboard-Hack und ein Plugin für den Community Builder.

Das wäre jetzt alles ganz toll, wenn nicht diese wirklich gefährliche Sicherheitslücke aufgetaucht wäre, zu der es leider bisher auch keinen Patch gibt.

Das Installationsscript von eWriting ist unsicher. Damit wird es Angreifern ermöglicht, schädlichen SQL-Code in die Datenbank einzuschleusen. Informationen durchlaufen den "cat" -Parameter des Installationsscripts.

Durch die Manipulation von SQL-Queries könnten Angreifer die Passwort und Username -Hashes eines Administrators erhalten. Allerdings ist dafür die Kenntnis des Datenbank-Tabellen-Prefix erforderlich.

Das Problem besteht für die Version 1.2.1 und somit sicher auch für alle älteren Versionen.

Man könnte jetzt selbst am Source Code herumbasteln, um das Problem zu lösen. Solange man auf der Entwicklerseite keine Bemühungen feststellen kann die Sicherheit schnell wieder gewährleisten zu wollen, würde ich aber grundsätzlich abraten eine solche Komponente überhaupt zu verwenden.

Die letzten News auf der Seite des Entwicklers stammen vom 16. September 2007, allerdings scheint das Forum dort recht aktuell zu sein.

Wir üben uns also in Geduld und verzichten bis zum Erscheinen eines Patches auf die sicher sehr interessante Komponente, die allerdings auch nicht jeder unbedingt braucht.

Letztes Update: 21-11-2010 15:48