Kontakt    Impressum     Datenschutz
Joomla Blog - Die Insider Tipps


Blog über das beliebte Content Management System Joomla. Tipps und Tricks zu allen Joomla Themen, Hacks und Fixes, SEO, sowie allgemeinere Webmaster Themen.
Unser RSS FeedBleibe auf dem Laufenden mit dem Joomla Blog RSS Feed. Klicke auf das Symbol um den Feed zu abonnieren.

twitter-rss-abo.png Joomla Blog Twitter Feed abonnieren
  Joomla Blog per E-Mail abonnieren mail-axialis.png Joomla Blog - Twitter E-Mail Abo !
       

Die neue Version von IBP ist da:
>> Download: Das SEO eBook !
kostenlos

 Feb   März 2010   Apr

SMDMDFS
   1  2  3  4  5  6
  7  8  910111213
14151617181920
21222324252627
28293031 

Blog Roll


Kategorien

Aktuell gibt es  131 Artikel

Vorsprung durch Wissen

Website Boosting - Der E-Marketing Knaller
Das SEO Standardwerk, nicht nur für Anfänger, sondern auch für Fortgeschrittene. Meiner Meinung nach eine Pflichtlektüre für jeden Webworker. Schaut euch mal die Rezensionen an.

Fehler gefunden?

Einfach Wort markieren und Shift & Enter drücken. Vielen Dank!
Add to Technorati Favorites

Eure Backlinks

kommen von:

Ausgewählte Artikel

>> Das Joomla Backup Tutorial
>> Übersicht Template Clubs
>> Passwort Manager im Test
ALL-INKL.COM Webhosting
>> Meine All-Inkl Erfahrungen

Eure Kommentare

Joomla Toplist
Joomla Blog Vote
PU Arcade 2.2g SQL Injection Lücke und Fix Drucken
Dienstag, 20. Mai 2008
Die beliebte und wohl mitunter beste Joomla Extension für Online Spiele, PU Arcade, hat eine winzige Sicherheitslücke, die bereits gefixed wurde. Es hat quasi kaum jemand mitbekommen. Es handelt sich wieder mal um eine Schwachstelle in Sachen SQL Injection. Innerhalb von 5 Jahren ist dies aber erst die zweite PU Arcade Sicherheitslücke, welche wiederum in Rekordgeschwindigkeit behoben wurde.

Mögliche SQL Injection PU Arcade 2.2g

Kaum bekannt gemacht, die winzige Sicherheitslücke. Nur wissen sicherlich auch viele Webmaster die PU Arcade verwenden, nicht von dieser Lücke. Deswegen ein kurzer Blogbeitrag zu diesem Thema. Betroffen ist die aktuelle PU Arcade Version 2.2g. Hier ist eine Schwachstelle in der Datei puarcade.class, welche eine bösartige SQL Injection möglich machen kann. Der PUA Admin Pragma bittet darum den empfindlichen Code Ausschnitt nicht zu veröffentlichen. Ich will dieser Bitte gerne nachkommen. Auch wenn man die Lücke durch einfaches Vergleichen sofort findet.

Absichern durch Mysql_real_escape_string()

Die PHP Funktion mysql_real_escape_string sorgt dafür, dass ein SQL Injection Angriff unmöglich gemacht wird. Sie sollte immer verwendet werden, um Daten vor der Übermittlung an MySQL abzusichern. Gerade PHP / MySQL Anfänger, zu denen ich mich zähle, vergessen gerne das Thema Sicherheit. Nicht aus böser Absicht, sondern aus reinem Unwissen. Deshalb der deutliche Hinweis auf diese PHP Funktion und deren Anwendung.

>> Detalliertere Infos und Beispiele zu mysql_real_escape_string()

Einfacher und schneller FIX

Der Fix dieser Lücke ist denkbar einfach. Ihr ladet die Patch Datei aus dem ersten Post im diesem Forenbeitrag. Die Datei puarcade.class wird entpackt und in das Verzeichnis /components/com_puarcade hochgeladen. Dabei wird die vorhandene Datei überschrieben. Achtet darauf, ob ihr puarcade.class vorher schon einmal selbst modifiziert habt, damit ihr eure Änderungen nicht versehentlich überschreibt.

Damit in Zukunft eine solche Sicherheitslücke schneller bekannt gemacht wird, werde ich Pragma (Admin von PU Arcade) vorschlagen, einen RSS Feed für seine Startseite zu integrieren - hier meldet er immer News in Sachen PU Arcade. So kann man sich dann per Feedreader über PUA News informieren lassen.


Kommentare
Neuer Kommentar Suche RSS
Marko Master  - Danke     ID:84.183.105.xxx 20-05-2008 21:05:33
für den Tipp...ich habe das ganze schon gefixt...


Mfg Marko Master
Antworten | Zitat
0 0
Joomla Blog   ID:217.235.181.xxx 20-05-2008 21:07:25
Ich hatte das echt fast verpasst, da ich nicht täglich im PU Arcade Forum unterwegs bin :) Bin gespannt, ob's bald einen RSS Feed geben wird...
Antworten | Zitat
0 0
Joomla Blog   ID:217.235.161.xxx 30-05-2008 11:54:57
Nach Rücksprache:

Der Entwickler von PU Arcade empfiehlt den Foren RSS Feed zu abonnieren, um auf dem Stand der Dinge zu bleiben. So verpasst man keine Sicherheitsmeldungen und bleibt auf dem neusten Stand der PU Arcade Entwicklung.
Antworten | Zitat
0 0
Kommentar schreiben
Name:
Email:
 
Website:
Titel:
UBBCode:
[b] [i] [u] [url] [quote] [code] [img] 
 
 
Bitte den Anti-Spam Code eingeben.

3.26 Copyright (C) 2008 Compojoom.com / Copyright (C) 2007 Alain Georgette / Copyright (C) 2006 Frantisek Hliva. All rights reserved."

Vorheriger Artikel: >> Sicherheitslücke in Joomla Visites 1.1 RC2.

Tags:  pu arcade 2.2g sql injection arcade joomla lücke fix sql injection