VEGAS Pro 21

Joomla Komponente eWriting unsicher

Die Joomla Komponente eWriting enthält eine schwerwiegende Sicherheitslücke. Angreifer könnten die Datenbank kompromittieren. 

Joomla Komponente eWriting unsicher

Bei der Joomla-Komponente eWriting handelt es sich um eine Anwendung, mit der man Stories und Fanfictions erstellen und verwalten kann. Es können Geschichten geschrieben und in einzelne Kategorien unterteilt werden. Die Anwender können eigene Geschichten beisteuern, Kritiken hinterlassen und noch einige Features mehr. 

Die Komponente scheint schon einige Jahre auf dem Buckel zu haben. Beim Entwickler kann man sich eine Anleitung in Englisch aus dem Jahre 2005 zu Gemüte führen.

Alle nötigen Dateien zur Komponente können hier heruntergeladen werden. (Links funktionieren nicht mehr und wurden entfernt) Darunter sind Module, Iconsets, Sprachdateien und zusätzliche nützliche Sachen. So gibt es zum Beispiel einen Joomlaboard-Hack und ein Plugin für den Community Builder.

Das wäre jetzt alles ganz toll, wenn nicht diese wirklich gefährliche Sicherheitslücke aufgetaucht wäre, zu der es leider bisher auch keinen Patch gibt.

Das Installationsscript von eWriting ist unsicher. Damit wird es Angreifern ermöglicht, schädlichen SQL-Code in die Datenbank einzuschleusen. Informationen durchlaufen den "cat" -Parameter des Installationsscripts.

Durch die Manipulation von SQL-Queries könnten Angreifer die Passwort und Username -Hashes eines Administrators erhalten. Allerdings ist dafür die Kenntnis des Datenbank-Tabellen-Prefix erforderlich.

Das Problem besteht für die Version 1.2.1 und somit sicher auch für alle älteren Versionen.

Man könnte jetzt selbst am Source Code herumbasteln, um das Problem zu lösen. Solange man auf der Entwicklerseite keine Bemühungen feststellen kann die Sicherheit schnell wieder gewährleisten zu wollen, würde ich aber grundsätzlich abraten eine solche Komponente überhaupt zu verwenden.

Die letzten News auf der Seite des Entwicklers stammen vom 16. September 2007, allerdings scheint das Forum dort recht aktuell zu sein.

Wir üben uns also in Geduld und verzichten bis zum Erscheinen eines Patches auf die sicher sehr interessante Komponente, die allerdings auch nicht jeder unbedingt braucht.

Speichern
Cookies Einstellungen
Wir verwenden Cookies, um Ihnen das beste Erlebnis auf unserer Webseite zu ermöglichen. Wenn Sie die Verwendung von Cookies ablehnen, funktioniert diese Website möglicherweise nicht wie erwartet.
Alle akzeptieren
Alle ablehnen
Essential
Für grundlegende Funktionalität der Website notwendig
Website
Akzeptieren
Marketing
Eine Reihe von Techniken, die die Handelsstrategie und insbesondere die Marktstudie zum Gegenstand haben.
Diverse
Akzeptieren
Ablehnen
Functional
Tools, die Ihnen beim Navigieren auf der Website mehr Funktionen bieten, dies kann soziales Teilen einschließen.
Osano
Akzeptieren
Ablehnen
Analytics
Werkzeuge zur Analyse der Daten, um die Wirksamkeit einer Webseite zu messen und zu verstehen, wie sie funktioniert.
Google Analytics
Akzeptieren
Ablehnen