Mögliche SQL Injection Schwachstelle in easyLink v1.x

Heute habe ich Kenntnis von einer möglichen Schwachstelle in easyLink v1.x erhalten und aus diesem Grund möchte ich euch einige weitere Informationen zu diesem Problem bereitstellen.

Wie in der Meldung zu lesen ist, können potenzielle Angreifer über den nicht geprüften Parameter cat der detail.php Zugriff auf sensible Daten aus der Eintragstabelle erhalten.

Im Gegensatz zur der veröffentlichten Warnung von Secunia möchte ich hier aber nochmals ausdrücklich darauf hinweisen, dass von dieser Schwachstelle ausschließlich die Version 1.x und die noch immer oft genutzte Version 1.4.7 betroffen ist.

In sämtlichen Releases ab der Version 2 kann diese Schwachstelle nicht mehr ausgenutzt werden.

Da mit der Version 2.6.x bereits ein sicheres Release zur Verfügung steht, werden wir für die Versionsreihe 1.x keinen gesonderten Patch mehr zur Verfügung stellen. Wir möchten jedoch diese Warnung zum Anlaß nehmen um nochmals alle Kunden aufzurufen, die von uns zur Verfügung gestellten Patches und Updates auch dringend zu installieren.

Bitte denken Sie beim Einsatz von veralteter Software auch immer daran, dass Sie nicht nur das Risiko eines möglichen Datenverlustes eingehen, sondern im schlimmsten Fall können Angreifer natürlich auch Zugriff auf persönliche Kundendaten erlangen und daher appelliere ich natürlich auch vor dem Hintergrund div. Datenskandale an alle Administratoren in diesem Bereich mehr Verantwortungsbewusstsein zu entwickeln.

4 comments for “Mögliche SQL Injection Schwachstelle in easyLink v1.x

  1. Mobiman
    19. Dezember 2008 at 15:10

    Ich persönlich würde einen Patch begrüßen, da es erheblich modifizierte EL 1.x. installationen gibt, die sich ohne hohen Kostenaufwand nicht auf die aktuellen Versionen anpassen lassen. Selbst wenn dieser Patch 50,- EUR kosten würde, greife ich hier lieber zu als 500 – XXXX € auszugeben um mein Projekt auf den neusten Stand zu bringen. Solch hohen Ausgabe können die meisten bestimmt nicht für Ihr Projekt verkraften.

  2. Frame
    20. Dezember 2008 at 17:26

    Auch ich würde einen solchen Patch begrüßen, da ich die Kosten für eine Aktualisierung auf eine aktuelle Version nicht in 10 Jahren einfahre. Meine Erweiterungen sind einfach zu umfangreich und zu tief im Sytem verankert, als das ich mich mit einer Aktualisierung befassen kann.

  3. 21. Dezember 2008 at 19:19

    Wie im Artikel schon geschrieben steht, wird es keinen Patch geben. Aus Entwickler Sicht ist es auch nachvollziehbar. Es lohnt aus meiner Sicht auch nicht für stark modifizierte Portale einen Patch bereit zu stellen. Hier muss man sich im klaren sein, dass die individuellen Modifikationen aufgrund der fehlenden Plugin-Schnittstelle in den easyLink Version 1.x bei einem Patch ebenso verloren gehen, wie bei einem generellen Update. Schon allein deswegen macht es keinen Sinn.

    VW bietet auch kein ESP für einen Käfer Baujahr 1961 an.

  4. 22. Dezember 2008 at 11:20

    Ich kann Marcel bei seinen Ausführungen nur zustimmen, zumal…die v2 ja bereits eine Fehlerbehebung, sprich Verbesserung für die v1 beinhaltet. Warum sollten wir einen Patch für einen Fehler herstellen, der schon lange in aktuellen Versionen gepatcht wurde?

    Und warum sollten wir einen Patch für eine Version veröffentliche, von deren Einsatz wir dringend abraten, eben weil die Engine bereits stark veraltet und mit Sicherheit auch noch viele weitere Lücken beinhaltet. Da würden wir ja dran bleiben.

    Außerdem ist es ja so, dass wir grundsätzlich alle Nutzer aufrufen, die jeweiligen Updates zu installieren um genau diese Probleme zu vermeiden. Wenn jemand diesen Rat nicht befolgt, dann liegt es letztendlich nicht in unserem Verantwortungsbereich.

    Konzerne wie MS, Apple oder Mozilla machen es ja auch nicht anders, denn auch hier werden die Patches etc. zu einem bestimmten Datum für eine bestimmte Versionsreihe nicht mehr zur Verfügung gestellt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.