15. August 2007

URLAUB!

So, liebe Leser...

Diese Woche wird sich auf diesem Blog nicht viel tun,
Grund: der incredible Leitman ist seit langer Zeit mal im wohlverdienten Urlaub ^^

Und er will mit seiner Chicca nicht gestört werden und viel Zeit mit seiner kleinen Prinzessin verbringen, also stelle ich den Blog hinten nach.

Aber ich wünsche euch viel Spaß und Erfolg weiterhin,
mit freundlichen Grüßen und einen schönen Sommer

euer
incredible Leitman

13. August 2007

Shoutbox "root" – Einbindung von Dateien

Warnstufe:
Hoch kritisch

Auswirkungen:
Enthuellung sensitiver Informationen
Systemzugriff

Angriffsweg(e):
von extern

Software:
Shoutbox 1.x

Beschreibung:
Rizgar meldet eine Schwachstelle in Shoutbox, ueber die Angreifer vertrauliche
Informationen enthuellen oder das System kompromittieren koennen.

Eingaben ueber den Parameter "root" (Datei: „shoutbox.php“) werden vor der
Verwendung zum Einbinden von Dateien nicht ausreichend ueberprueft. Dies kann
der Angreifer ausnutzen, um beliebige Dateien aus lokalen und externen Quellen
einzuspeisen.

Ein erfolgreicher Angriff setzt voraus, dass das Register "register_globals"
aktiviert ist.

Die Sicherheitsluecke wird bestaetigt in Version 1.0. Andere Versionen koennten
jedoch ebenfalls betroffen sein.

Lösung:
Aendern Sie den Quelltext dahingehend ab, dass Eingaben ausreichend ueberprueft
werden.

Gemeldet von:
Rizgar

Diese Security News basiert auf einem Advisory von Secunia:
http://www.secunia.com/advisories/26396