In dem Addon "VMS-Addon Nickpage V. 1.2 by Ufisch" wurde eine erhebliche Sicherheitslücke gefunden.

Mittels SQL Injection ist es möglich Userdaten inklusive Passwort Hash auszulesen. Leider habe ich den Code vom Addon selbst nicht bzw. nur den Code einer Version in der diese Fehler schon behoben ist weshalb ich an dieser Stelle kein Bugfix anbieten kann.

Gerne prüfe ich eure Webseite darauf ob die Lücke vorhanden ist dazu bitte einfach die URL posten.

An dieser Stelle möchte ich darauf hinweisen das diese Sicherheitslücke nicht durch das VMS selbst sondern durch eine Erweiterung eines dritten entstanden ist.

Informationen wie man diese Lücke ausnutzt wird es von mir nicht geben, und ich möchte auch keine Anleitungen in diesem Thread lesen :knueppel:.

Vielen Dank an Newkaiza der mich über diese Lücke informiert hat.

Wir empfehlen dringend dieses Addon bis zur Einspielung eines Bugfixes zu deaktivieren.

Gerne prüfe ich eure Webseite darauf ob die Lücke vorhanden ist dazu bitte einfach die URL posten.

Bitte eimal prüfen : http://www.happywins.com

Danke!

Hast du einen Testacci? Möchte mich nicht anmelden und bei dir geht die NP leider nicht als Gast.

Daten gerne per PM

bitte prüfen:
http://www.rilos.de - DANKE!
Habe leider keinen Testacc - bei PN an mich kann ich dir aber gerne meine Logindaten geben, somit musst du dich bei mir nicht anmelden !

Bitte meine beiden Seiten auch mal prüfen.

http://www.anteilshoelle.de und http://www.klammgeilanteile.de

Auch hier bitte Testacci

Mir ist grad aufgefallen das man mit dieser Lücke auch den Adminlogin auslesen kann :)

Auch hier bitte Testacci

hast PN mit Daten

Bei denen die sich bislang gemeldet haben ist der Bug so nicht vorhanden. Vermutlich gibt es schon eine neuere Version denn in die wo der Bug auftritt kommt man auch als Gast auf die Nickpages.

Dennoch sollte man darauf achten das Variablen nicht ungeschützt übergeben werden:
- Nickname mit mysql_real_escape_string($_GET['nick'])
- Userid mit (INT)$_GET['uid']

Bei denen die sich bislang gemeldet haben ist der Bug so nicht vorhanden. Vermutlich gibt es schon eine neuere Version denn in die wo der Bug auftritt kommt man auch als Gast auf die Nickpages.

Dennoch sollte man darauf achten das Variablen nicht ungeschützt übergeben werden:
- Nickname mit mysql_real_escape_string($_GET['nick'])
- Userid mit (INT)$_GET['uid']

d.h. bei mir iss alles OK!?

Das alles okay ist kann ich nicht sagen, lediglich diese Lücke wurde schon geschlossen ob noch weitere vorhanden sind kann ich so nicht sagen.

Die Sicherheitslücke war doch schon mal im Gespräch, aber hatte nicht eselfutter damals ein Bugfix rausgebracht?
Find' den Thread dazu grade nicht... :rant:

Ich hatte es auch in Erinnerung das es dort schonmal einen Bug gab aber habe den Thread auch nicht gefunden deshalb lieber nochmal einen aufgemacht, scheint ja auch immernoch bei einigen vorhanden zu sein.

hi,

einmal bitte http://www.klammlose4u.de testen...
Testacc kommt gleich per PN.

danke und Gruss
Markus

hi,

einmal bitte http://www.klammlose4u.de testen...
Testacc kommt gleich per PN.

danke und Gruss
Markus

Dürfte okay sein :)

Hallo,
na da schau doch bitte bei mir auch mal, Daten kommen gleich per PN.

LG Laemmi

Bitte auch mal meine Seiten testen.

Daten kommen per PM

Danke

MfG
Dreamerweb

Hmmm....

Hast auch mal eine PN, will ma sicher sein ;)

auch bei mir bite testen..
testaccount bekommst per pn...

Hallo zusammen,

ohne jetzt cdp was unterstellen zu wollen (immerhin ist er der Admin), kann ich euch jedoch nicht verstehen, warum ihr freiwillig jemanden damit "beauftragt", zu schauen ob dieser Bug vorhanden ist.
Es könnte ja jeder kommen und so sich Zugang zu vertraulichen Daten verschaffen!
Wenn ihr jemanden damit beauftragt, das zu überprüfen, dann gebt ihm bitte nur die betroffene Datei!

Aber jetzt zum eigentlichen Thema.
Also ich kann mich schon gar nicht mehr an den Bug erinnern. Damals habe ich, sofern dieser tatsächlich von mir kam, allen ein Bugfix geschickt, die das Addon von mir hatten. Jedenfalls ist dieser Bug seit geraumer Zeit gefixt, sodass es eigentlich (hoffentlich) keine Seite mehr damit geben sollte, es sei denn, es hat jemand selber Hand angelegt und diesen bei sich "eingebaut".

LG Ufisch

Also ob die mir nun Url + Testaccount geben, oder ob ich bei Google suche (http://www.google.de/search?hl=de&q=intext%3A%22Addon+by+Ufisch%22+inurl%3Anickpage&btnG=Google-Suche&meta=) und mir Testaccounts erstelle ist doch egal!? Fakt ist das es noch Seiten gibt welche den Bug drin haben.

Und heute morgen wurde mir der Bug von jemandem gemeldet, daraufhin hab ich mich selbst bei einigen Seiten umgeschaut ob der Bug vorhanden ist und bei einigen war es auch noch vorhanden.. naja ^^

Klar kannst du googlen und sicher wird das auch jemand mit bösen Absichten machen. Mir gings nur ums Prinzip.

Ein bisschen muss ich UfIsch recht geben, wozu die Seite direkt testen ?

Eigentlich reicht es doch wirklich die entsprechende Datei mit der Lücke zu überfliegen.

MfG

heute meldet sich mal der finder ^^.

ich finds klasse das ihr alle sofort reagiert vorallem der admin.
die meissten leute die ich anschreibe reagieren meisst garnicht auf meine mail bzw. die juckt das nich ob kundendaten sicher sind oder nicht
eine frechheit. jedenfalls seid ihr ein gutes vorbild anderen comunnitys gegenüber.


wenn ihr neue addons habt, oder überhaupt ma eure scripte checken wollt biete ich euch die möglichkeit mir eure sources zu geben die ich dann testen würde .



mfg newkaiza

Hallo,
och hätte mir doch fast denken können das du das bist *zwinker*.

Na dann nimm dir mal paar andere Threads hier noch zur Brust, da findet man lustige Dinge. Und was man hier noch reichlich findet, neue Loseseiten (viele Einsteiger nehmen halt VMS 1 - ich ja auch) die reichlich Bugslots einsetzen.
Obwohl auch in dem Forum das Thema angesprochen wurde und auch ne Hilfe drin steht, schenkt dem kaum ein neuer Webmaster Beachtung, leider. Ergebnis kennste ja selber.

LG Laemmi

Warum wurde eigentlich das Addon aus dem Downloadbereich gelöscht?

Genau deshalb, ich prüfe es derzeit auf weitere Fehler. Danach ist es wieder drin.