| Geschrieben von GL, am 08-07-2010 15:09 |
| Views |
1819  |
|
Die Formularkomponente CKForms für Joomla 1.5 sollte momentan auf Grund erheblicher Sicherheitsmängel nicht verwendet werden.
Hoch kritische Lücken in CKForms! CKForms ist eine für Joomla 1.5 erhältliche Komponente zur Erzeugung von Formularen ganz ohne Kenntnisse im Bereich der Web-Entwicklung. Eigentlich eine schöne Sache, wenn da nicht die extremen Sicherheitslücken wären. Daten können manipuliert werden. Sensible Daten könnten ausgespäht werden. Ein Systemzugriff von außerhalb ist möglich. Bösartige Angreifer sind in der Lage, über SQL-Injections die Datenbank zu kompromittieren. Damit kann also ein kompletter Web-Auftritt lahmgelegt werden.
In der Datei models/ckforms.php arbeitet die Methode "CkformsModelCkforms::saveData()". Diese Methode erlaubt das Hochladen von Dateien mit beliebigen Endungen und Inhalten in einen Ordner im Rootverzeichnis des Webservers. So kann also leicht eine PHP-Datei mit schädlichen Auswirkungen eingeschleusst werden. Verhindern kann man das durch eine Konfiguration des Feldes "fileupload". Dies ist leider nur eine der Möglichkeiten für Angreifer. Schädliche Eingaben sind über den articleid-Parameter und über den sortd-Parameter möglich. Leider wird vom Entwickler bisher keine Lösung zu diesem extremen Problem angeboten. Wenn man sich etwas auskennt, könnte man selbst den Quellcode entsprechend verändern. Das wird wohl in den seltensten Fällen so sein, sonst könnte man sich ein sicheres Formular auch gleich selbst erstellen.
Eine Hilfe könnte auch die Änderung des Pfades für hochzuladende Dateien sein. Der Pfad sollte unbedingt auf außerhalb des Rootverzeichnisses verweisen. Die Sicherheitslücke betrifft die aktuelle Version 1.3.4 und alle vorhergehenden Versionen sind wohl ebenfalls unsicher. Viele Seiten von Anwendern der Version 1.3.3 wurden bereits gehackt. Es kann also keinesfalls angeraten werden, diese Komponente irgendwie wieder sicher kriegen zu wollen und selbst im Code herumzubasteln, auch wenn das vielleicht möglich wäre. So leid es mir für den Entwickler tut, aber am besten "Finger weg von CKForms". Die Hacker werden sich sicher dankbar auf jede Seite stürzen, welche diese Extension verwendet. Es gibt glücklicherweise auch Alternativen. Aber Formulare sind immer eine sensible Sache und Aufpassen ist hier immer angesagt. So mancher auf Joomla spezialisierter Webspace-Anbieter verbietet gar seinen Kunden die weitere Verwendung dieser Komponente. Die Sache scheint also wirklich ernst zu sein.
Letztes Update: 18-11-2010 11:32
Benutzerkommentare (0) 
|
|
|
News/Blog 
The Gimp 2.8.0
Mozilla Firefox 12
Joomla 2.5.4 Stable Update Paket
