Sicherheitshinweis für easyLink v2 und easyLink v3

Aufgrund einer Schwachstelle, die kürzlich in easyLink v2.x bekanntwurde, unterziehen wir beide Softwarereihen derzeit einem ausführlichem Sicherheitscheck und in diesem Zusammenhang ist uns aufgefallen, dass 90% aller Nutzer die Installationsdateien auf dem Server belassen.

Diese Vorgehensweise stellt ein extrem hohes Sicherheitsrisiko dar, denn einem Angreifer ist es somit durch eine erneute Ausführung des Setups möglich, das ACP Passwort bzw. in der V3 den Adminaccount zu überschreiben um anschließend vollen Zugriff auf das ACP zu erhalten.

Wir empfehlen daher dringend allen Nutzern die folgenden Dateien vom Server zu löschen:

easyLink v2.4.x – easyLink v2.6.4

  • acp/install.php
  • acp/install-schema.php
  • acp/upgrade.php
  • acp/setup-config.php

easyLink v3.x

  • acp/SetupCheck.php
  • acp/SetupConfig.php
  • acp/SetupCore.php
  • acp/SetupDatabase.php
  • acp/SetupIonCube.php
  • acp/SetupSchema.php
  • acp/SetupUpgrade.php

Um das Problem für zukünftige Installationen auszuschließen, werden wir das ACP um eine entsprechende Sicherheitprüfung erweitern, die bei vorhanden sein der entsprechenden Dateien eine Warnmeldung für dem Administrator ausgibt.

2 comments for “Sicherheitshinweis für easyLink v2 und easyLink v3

  1. Ralf
    20. Juli 2009 at 19:22

    Behebet dieses htaccess Update alle Sicherheitslücken Oder muss ich noch mehr tun?? hHabe die Videos im MOUNTAINGRAFIX Forum gesehen und bin verunsischert.

  2. 21. Juli 2009 at 09:56

    Hallo Ralf,

    das ACP mittels .htaccess zu sichern gehört lediglich zu den ersten dringenden Sofortmaßnahmen. Wir arbeiten derzeit an einem Patch und hoffen diesen in den nächsten Tagen bereitstellen zu können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.