phpDenora Sicherheitslücke – Upgrade SOFORT empfohlen
Erstellt von Rhodan am Freitag 16. Oktober 2009
Die phpDenora Versionen bis 1.2.3 und 1.4.0 bis 1.4.2 sind von einer Sicherheitslücke betroffen, bei der man SQL-Befehle einschleusen und auch die Passwörter auslesen kann.
Man soll so bald wie möglich phpDenora auf die neuste Version upgraden. Für Server mit PHP 5.2 und 5.3 sollte man auf die Version 1.4.3 upgraden, für Server mit PHP 4.3 bis einschließlich 5.1 möge man phpDenora 1.2.4 nutzen.
Nach dem Upgrade möge man folgende Sicherheitsmaßnahmen durchführen:
- alle Denora Admin-Passwörter ändern
- die IRCOP-Passwörter ebenfalls ändern, falls sie dem Denora-Admin Passwort gleich sind.
Die Schwachstelle ermöglicht es jedem SQL-Befehle einzuschleusen, man kann dadurch jede Tabelle in der Datenbank lesen und verändern, das gilt auch für die Admin Tabelle. Auch wenn die Passwörter MD5-verschlüsselt sind, so kann man sie knacken, wenn sie nicht allzu kompliziert sind. Wenn man sicher aber nur bei Denora einloggen kann, wenn man im IRCd geopert ist, dann ist die Lücke nicht eine unmittelbare Bedrohung. Aber wenn das Passwort von Denora das gleiche ist wie das vom IRCOP-Account und man sich von jedem Rechner aus anmelden kann, dann ist man sehr gefährdet. Selbst wenn man glaubt, dass das Admin-Passwort sicher sei, so sollte man es doch dringends aktualisieren.
phpDenora dringends aktualisieren!
Download der neuen Versionen von phpDenora: hier