PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Sicherheitslücke: VMS-Addon Nickpage V. 1.2 by Ufisch



Gremlin
14.12.2008, 13:56
In dem Addon "VMS-Addon Nickpage V. 1.2 by Ufisch" wurde eine erhebliche Sicherheitslücke gefunden.

Mittels SQL Injection ist es möglich Userdaten inklusive Passwort Hash auszulesen. Leider habe ich den Code vom Addon selbst nicht bzw. nur den Code einer Version in der diese Fehler schon behoben ist weshalb ich an dieser Stelle kein Bugfix anbieten kann.

Gerne prüfe ich eure Webseite darauf ob die Lücke vorhanden ist dazu bitte einfach die URL posten.

An dieser Stelle möchte ich darauf hinweisen das diese Sicherheitslücke nicht durch das VMS selbst sondern durch eine Erweiterung eines dritten entstanden ist.

Informationen wie man diese Lücke ausnutzt wird es von mir nicht geben, und ich möchte auch keine Anleitungen in diesem Thread lesen :knueppel:.

Vielen Dank an Newkaiza der mich über diese Lücke informiert hat.

Wir empfehlen dringend dieses Addon bis zur Einspielung eines Bugfixes zu deaktivieren.

didith1207
14.12.2008, 14:01
Gerne prüfe ich eure Webseite darauf ob die Lücke vorhanden ist dazu bitte einfach die URL posten.

Bitte eimal prüfen : http://www.happywins.com

Danke!

Gremlin
14.12.2008, 14:03
Hast du einen Testacci? Möchte mich nicht anmelden und bei dir geht die NP leider nicht als Gast.

Daten gerne per PM

riwasch
14.12.2008, 14:03
bitte prüfen:
http://www.rilos.de - DANKE!
Habe leider keinen Testacc - bei PN an mich kann ich dir aber gerne meine Logindaten geben, somit musst du dich bei mir nicht anmelden !

word10
14.12.2008, 14:04
Bitte meine beiden Seiten auch mal prüfen.

http://www.anteilshoelle.de und http://www.klammgeilanteile.de

Gremlin
14.12.2008, 14:05
Auch hier bitte Testacci

Gremlin
14.12.2008, 14:16
Mir ist grad aufgefallen das man mit dieser Lücke auch den Adminlogin auslesen kann :)

word10
14.12.2008, 14:19
Auch hier bitte Testacci

hast PN mit Daten

Gremlin
14.12.2008, 14:31
Bei denen die sich bislang gemeldet haben ist der Bug so nicht vorhanden. Vermutlich gibt es schon eine neuere Version denn in die wo der Bug auftritt kommt man auch als Gast auf die Nickpages.

Dennoch sollte man darauf achten das Variablen nicht ungeschützt übergeben werden:
- Nickname mit mysql_real_escape_string($_GET['nick'])
- Userid mit (INT)$_GET['uid']

riwasch
14.12.2008, 14:37
Bei denen die sich bislang gemeldet haben ist der Bug so nicht vorhanden. Vermutlich gibt es schon eine neuere Version denn in die wo der Bug auftritt kommt man auch als Gast auf die Nickpages.

Dennoch sollte man darauf achten das Variablen nicht ungeschützt übergeben werden:
- Nickname mit mysql_real_escape_string($_GET['nick'])
- Userid mit (INT)$_GET['uid']

d.h. bei mir iss alles OK!?

Gremlin
14.12.2008, 14:38
Das alles okay ist kann ich nicht sagen, lediglich diese Lücke wurde schon geschlossen ob noch weitere vorhanden sind kann ich so nicht sagen.

jpwfour
14.12.2008, 14:43
Die Sicherheitslücke war doch schon mal im Gespräch, aber hatte nicht eselfutter damals ein Bugfix rausgebracht?
Find' den Thread dazu grade nicht... :rant:

Gremlin
14.12.2008, 14:48
Ich hatte es auch in Erinnerung das es dort schonmal einen Bug gab aber habe den Thread auch nicht gefunden deshalb lieber nochmal einen aufgemacht, scheint ja auch immernoch bei einigen vorhanden zu sein.

FlexMax
14.12.2008, 15:41
hi,

einmal bitte http://www.klammlose4u.de testen...
Testacc kommt gleich per PN.

danke und Gruss
Markus

Gremlin
14.12.2008, 18:04
hi,

einmal bitte http://www.klammlose4u.de testen...
Testacc kommt gleich per PN.

danke und Gruss
Markus

Dürfte okay sein :)

Laemmi
14.12.2008, 18:17
Hallo,
na da schau doch bitte bei mir auch mal, Daten kommen gleich per PN.

LG Laemmi

Dreamerweb
14.12.2008, 18:49
Bitte auch mal meine Seiten testen.

Daten kommen per PM

Danke

MfG
Dreamerweb

maniwelt
14.12.2008, 20:06
Hmmm....

Hast auch mal eine PN, will ma sicher sein ;)

pummuk
14.12.2008, 21:49
auch bei mir bite testen..
testaccount bekommst per pn...

Ufisch
14.12.2008, 23:34
Hallo zusammen,

ohne jetzt cdp was unterstellen zu wollen (immerhin ist er der Admin), kann ich euch jedoch nicht verstehen, warum ihr freiwillig jemanden damit "beauftragt", zu schauen ob dieser Bug vorhanden ist.
Es könnte ja jeder kommen und so sich Zugang zu vertraulichen Daten verschaffen!
Wenn ihr jemanden damit beauftragt, das zu überprüfen, dann gebt ihm bitte nur die betroffene Datei!

Aber jetzt zum eigentlichen Thema.
Also ich kann mich schon gar nicht mehr an den Bug erinnern. Damals habe ich, sofern dieser tatsächlich von mir kam, allen ein Bugfix geschickt, die das Addon von mir hatten. Jedenfalls ist dieser Bug seit geraumer Zeit gefixt, sodass es eigentlich (hoffentlich) keine Seite mehr damit geben sollte, es sei denn, es hat jemand selber Hand angelegt und diesen bei sich "eingebaut".

LG Ufisch

Gremlin
14.12.2008, 23:52
Also ob die mir nun Url + Testaccount geben, oder ob ich bei Google suche (http://www.google.de/search?hl=de&q=intext%3A%22Addon+by+Ufisch%22+inurl%3Anickpage&btnG=Google-Suche&meta=) und mir Testaccounts erstelle ist doch egal!? Fakt ist das es noch Seiten gibt welche den Bug drin haben.

Und heute morgen wurde mir der Bug von jemandem gemeldet, daraufhin hab ich mich selbst bei einigen Seiten umgeschaut ob der Bug vorhanden ist und bei einigen war es auch noch vorhanden.. naja ^^

Ufisch
14.12.2008, 23:56
Klar kannst du googlen und sicher wird das auch jemand mit bösen Absichten machen. Mir gings nur ums Prinzip.

Masterphil
15.12.2008, 02:00
Ein bisschen muss ich UfIsch recht geben, wozu die Seite direkt testen ?

Eigentlich reicht es doch wirklich die entsprechende Datei mit der Lücke zu überfliegen.

MfG

testuser0
15.12.2008, 08:28
heute meldet sich mal der finder ^^.

ich finds klasse das ihr alle sofort reagiert vorallem der admin.
die meissten leute die ich anschreibe reagieren meisst garnicht auf meine mail bzw. die juckt das nich ob kundendaten sicher sind oder nicht
eine frechheit. jedenfalls seid ihr ein gutes vorbild anderen comunnitys gegenüber.


wenn ihr neue addons habt, oder überhaupt ma eure scripte checken wollt biete ich euch die möglichkeit mir eure sources zu geben die ich dann testen würde .



mfg newkaiza

Laemmi
15.12.2008, 15:53
Hallo,
och hätte mir doch fast denken können das du das bist *zwinker*.

Na dann nimm dir mal paar andere Threads hier noch zur Brust, da findet man lustige Dinge. Und was man hier noch reichlich findet, neue Loseseiten (viele Einsteiger nehmen halt VMS 1 - ich ja auch) die reichlich Bugslots einsetzen.
Obwohl auch in dem Forum das Thema angesprochen wurde und auch ne Hilfe drin steht, schenkt dem kaum ein neuer Webmaster Beachtung, leider. Ergebnis kennste ja selber.

LG Laemmi

Ufisch
17.12.2008, 20:35
Warum wurde eigentlich das Addon aus dem Downloadbereich gelöscht?

Gremlin
17.12.2008, 20:42
Genau deshalb, ich prüfe es derzeit auf weitere Fehler. Danach ist es wieder drin.