Mögliche SQL Injection Schwachstelle in easyLink v1.x

Abgelegt von Sascha Schoppengerd am 18.12.2008 um 17:36 Uhr

Heute habe ich Kenntnis von einer möglichen Schwachstelle in easyLink v1.x erhalten und aus diesem Grund möchte ich euch einige weitere Informationen zu diesem Problem bereitstellen.

Wie in der Meldung zu lesen ist, können potenzielle Angreifer über den nicht geprüften Parameter cat der detail.php Zugriff auf sensible Daten aus der Eintragstabelle erhalten.

Im Gegensatz zur der veröffentlichten Warnung von Secunia möchte ich hier aber nochmals ausdrücklich darauf hinweisen, dass von dieser Schwachstelle ausschließlich die Version 1.x und die noch immer oft genutzte Version 1.4.7 betroffen ist.

In sämtlichen Releases ab der Version 2 kann diese Schwachstelle nicht mehr ausgenutzt werden.

Da mit der Version 2.6.x bereits ein sicheres Release zur Verfügung steht, werden wir für die Versionsreihe 1.x keinen gesonderten Patch mehr zur Verfügung stellen. Wir möchten jedoch diese Warnung zum Anlaß nehmen um nochmals alle Kunden aufzurufen, die von uns zur Verfügung gestellten Patches und Updates auch dringend zu installieren.

Bitte denken Sie beim Einsatz von veralteter Software auch immer daran, dass Sie nicht nur das Risiko eines möglichen Datenverlustes eingehen, sondern im schlimmsten Fall können Angreifer natürlich auch Zugriff auf persönliche Kundendaten erlangen und daher appelliere ich natürlich auch vor dem Hintergrund div. Datenskandale an alle Administratoren in diesem Bereich mehr Verantwortungsbewusstsein zu entwickeln.

Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns bitte dabei diesen Artikel bekannter zu machen.

Kommentare

( Ihr Kommentar )

Mobiman19. Dezember 2008

Ich persönlich würde einen Patch begrüßen, da es erheblich modifizierte EL 1.x. installationen gibt, die sich ohne hohen Kostenaufwand nicht auf die aktuellen Versionen anpassen lassen. Selbst wenn dieser Patch 50,- EUR kosten würde, greife ich hier lieber zu als 500 – XXXX € auszugeben um mein Projekt auf den neusten Stand zu bringen. Solch hohen Ausgabe können die meisten bestimmt nicht für Ihr Projekt verkraften.
( Antworten )
Frame20. Dezember 2008

Auch ich würde einen solchen Patch begrüßen, da ich die Kosten für eine Aktualisierung auf eine aktuelle Version nicht in 10 Jahren einfahre. Meine Erweiterungen sind einfach zu umfangreich und zu tief im Sytem verankert, als das ich mich mit einer Aktualisierung befassen kann.
( Antworten )
Marcel21. Dezember 2008

Wie im Artikel schon geschrieben steht, wird es keinen Patch geben. Aus Entwickler Sicht ist es auch nachvollziehbar. Es lohnt aus meiner Sicht auch nicht für stark modifizierte Portale einen Patch bereit zu stellen. Hier muss man sich im klaren sein, dass die individuellen Modifikationen aufgrund der fehlenden Plugin-Schnittstelle in den easyLink Version 1.x bei einem Patch ebenso verloren gehen, wie bei einem generellen Update. Schon allein deswegen macht es keinen Sinn.

VW bietet auch kein ESP für einen Käfer Baujahr 1961 an.
( Antworten )
Sascha Schoppengerd22. Dezember 2008

Ich kann Marcel bei seinen Ausführungen nur zustimmen, zumal…die v2 ja bereits eine Fehlerbehebung, sprich Verbesserung für die v1 beinhaltet. Warum sollten wir einen Patch für einen Fehler herstellen, der schon lange in aktuellen Versionen gepatcht wurde?

Und warum sollten wir einen Patch für eine Version veröffentliche, von deren Einsatz wir dringend abraten, eben weil die Engine bereits stark veraltet und mit Sicherheit auch noch viele weitere Lücken beinhaltet. Da würden wir ja dran bleiben.

Außerdem ist es ja so, dass wir grundsätzlich alle Nutzer aufrufen, die jeweiligen Updates zu installieren um genau diese Probleme zu vermeiden. Wenn jemand diesen Rat nicht befolgt, dann liegt es letztendlich nicht in unserem Verantwortungsbereich.

Konzerne wie MS, Apple oder Mozilla machen es ja auch nicht anders, denn auch hier werden die Patches etc. zu einem bestimmten Datum für eine bestimmte Versionsreihe nicht mehr zur Verfügung gestellt.
( Antworten )

Einen Kommentar schreiben

( Gravatar erstellen )

Ihr Name
31. July 2010

Informieren Sie mich über neue Kommentare per E-Mail

Abbrechen

zum Mitnehmen... Abonnieren Sie unseren RSS-Feed

Suche

Unser jQuery Buch

Kommentare

Birgit: Wer da mit amcht ist wirklich selber schuld . Ich denke das ist was für einsame Menschen. Wenn ich m ~ 28. Juli 2010 - 17:27 Uhr
Stefan Waidele: PS: Ohne Javascript kann man nur raten, was in welches Feld unter den Kommentaren rein soll. (Glück ~ 28. Juli 2010 - 10:55 Uhr
Stefan Waidele: Ich find' die Idee klasse! Facebook-Content befreien und im großen, weiten Internet auszuwildern (un ~ 28. Juli 2010 - 10:54 Uhr
adrian messmer: die seite www.viralas.com ist sehr gut. ~ 28. Juli 2010 - 08:45 Uhr
Sascha Schoppengerd: Hi! Ich habe dir die Dateien mal direkt per E-Mail gesendet, denn die Anpassung dürfte für dich kein ~ 28. Juli 2010 - 07:36 Uhr
Achim Meurer: Hi, dann bin ich hier mal der Erste, der da auch Interesse hat. Mal schauen, ob wir genug Leute zusa ~ 28. Juli 2010 - 07:27 Uhr