Blog
Update wegen Sicherheitslücke
Michael Schwarz hat mich auf die Möglichkeit hingewiesen, per XSS fremde Inhalte auf eforia-Seiten ausgeben zu lassen. Deswegen gibt es ein kleines Update, was diese Lücken schließt.
Das natürlich auch noch für die 4er, wobei auch der aktuelle rsscheck mitkommt. Falls jemand den 4er und das Captcha nutzt, kann es sein, dass nach dem Update die Linux-Ausführen-Rechte fehlen. Aber nach dem ersten Aufruf des rsscheck "heilt" sich das von selbst. 8-)
In Panik ausbrechen muss man nicht, die Lücke ist nicht direkt zum Einbruch in das System geeignet. Man kann aber eigene Inhalte auf bestimmten Seiten einbinden, was man auch nutzen kann, um einem Nutzer die Cookies zu klauen. Dazu muss man aber einen manipulierten Link untergeschoben bekommen. Dank Twitter sind aber verschleierte Links groß im Kommen.
Dieser Artikel wurde veröffentlicht am 04.05.2009 um 14:12 Uhr.
Noch kein Kommentar.
Zeige 1 - 1 von 1
|
|
Hier bloggt Horst Klier mit und über eforia web manager und was dazugehört (HTML, Javascript, Internet, Webdesign, Such- maschinenoptimierung, usw.).
Übersicht über alle Beiträge
|