spaw gehackt!

[axl]

hi,

wir haben eine contenido-installation auf einem universitätsserver gehostet. letzte nacht wurde contenido über den spaw (version 1.0.3) angegriffen. es wurden massiv änderungen im filesystem geschrieben. damit könnte auch das datenbank-kennwort und damit sämtliche im sql-server gespeicherten benutzerkennwörter kompromitiert sein.

als sofort-lösung habe ich dem pfad zum spaw die rechte entzogen und statt spaw htmlarea2 aktiviert. nach der änderung der kennwörter sollte das system wieder sicher sein.

bevor ich das sicherheitsrisiko bekanntgebe, möchte ich sichergehen, daß das thema nicht schon behandelt worden ist. im forum habe ich nichts dazu entdeckt.

cu
axl

[emergence]

-> http://www.securityfocus.com/bid/9247

patch um das problem zu lösen lt. spaw 1.0.4

in external\wysiwyg\spaw\spaw_control.class.php

am beginn der datei gleich nach den comments folgendes einfügen:

Code: Alles auswählen

if (preg_match("/http:\/\//i", $spaw_root)) die ("can't include external file");

ob das jetzt wirklich funktioniert muss ich erst testen...

[emergence]

im normalfall kann dieser bug nur auftreten wenn register_globals=on
eingestellt wurde...

der patch sollte ohne weiteres funktionieren...

[Alex]

if (preg_match("/http:\/\//i", $spaw_root)) die ("can't include external file");

Hi!

Wenn ich das ändere, ist das Problem behoben? SPAW bietet wohl laut der genannten Webseite nur die Version 1.0.4 an, die das Problem behoben haben soll.

Alex

[emergence]

Wenn ich das ändere, ist das Problem behoben?

ja...

und was möchtest du mir mit deinem anderem kommentar sagen ?

[Alex]

War wohl ein bisschen schnell formuliert. Ich wollte eigentlich nur wissen, ob diese eine Zeile reicht.


VIELEN DANK

Alex

[timo]

hab ich in die 4.4. sowie ins CVS HEAD eingebaut.