Bleibe auf dem Laufenden mit dem Joomla Blog RSS Feed. Klicke auf das Symbol um den Feed zu abonnieren.
| PU Arcade 2.2g SQL Injection Lücke und Fix |
|
| Dienstag, 20. Mai 2008 | ||||||||||||||||||||||||||||||||||||||||||||
Die beliebte und wohl mitunter beste Joomla Extension für Online
Spiele, PU Arcade, hat eine winzige Sicherheitslücke, die bereits
gefixed wurde. Es hat quasi kaum jemand mitbekommen. Es handelt sich
wieder mal um eine Schwachstelle in Sachen SQL Injection. Innerhalb von
5 Jahren ist dies aber erst die zweite PU Arcade Sicherheitslücke,
welche wiederum in Rekordgeschwindigkeit behoben wurde.
Mögliche SQL Injection PU Arcade 2.2gKaum bekannt gemacht, die winzige Sicherheitslücke. Nur wissen sicherlich auch viele Webmaster die PU Arcade verwenden, nicht von dieser Lücke. Deswegen ein kurzer Blogbeitrag zu diesem Thema. Betroffen ist die aktuelle PU Arcade Version 2.2g. Hier ist eine Schwachstelle in der Datei puarcade.class, welche eine bösartige SQL Injection möglich machen kann. Der PUA Admin Pragma bittet darum den empfindlichen Code Ausschnitt nicht zu veröffentlichen. Ich will dieser Bitte gerne nachkommen. Auch wenn man die Lücke durch einfaches Vergleichen sofort findet. Absichern durch Mysql_real_escape_string()Die PHP Funktion mysql_real_escape_string sorgt dafür, dass ein SQL Injection Angriff unmöglich gemacht wird. Sie sollte immer verwendet werden, um Daten vor der Übermittlung an MySQL abzusichern. Gerade PHP / MySQL Anfänger, zu denen ich mich zähle, vergessen gerne das Thema Sicherheit. Nicht aus böser Absicht, sondern aus reinem Unwissen. Deshalb der deutliche Hinweis auf diese PHP Funktion und deren Anwendung. >> Detalliertere Infos und Beispiele zu mysql_real_escape_string() Einfacher und schneller FIXDer Fix dieser Lücke ist denkbar einfach. Ihr ladet die Patch Datei aus dem ersten Post im diesem Forenbeitrag. Die Datei puarcade.class wird entpackt und in das Verzeichnis /components/com_puarcade hochgeladen. Dabei wird die vorhandene Datei überschrieben. Achtet darauf, ob ihr puarcade.class vorher schon einmal selbst modifiziert habt, damit ihr eure Änderungen nicht versehentlich überschreibt. Damit in Zukunft eine solche Sicherheitslücke schneller bekannt gemacht wird, werde ich Pragma (Admin von PU Arcade) vorschlagen, einen RSS Feed für seine Startseite zu integrieren - hier meldet er immer News in Sachen PU Arcade. So kann man sich dann per Feedreader über PUA News informieren lassen.
Powered by !JoomlaComment 3.26
3.26 Copyright (C) 2008 Compojoom.com / Copyright (C) 2007 Alain Georgette / Copyright (C) 2006 Frantisek Hliva. All rights reserved."Vorheriger Artikel: >> Sicherheitslücke in Joomla Visites 1.1 RC2 Tags: pu arcade 2.2g sql injection arcade joomla lücke fix sql injection |
||||||||||||||||||||||||||||||||||||||||||||
Na dann bin ich mal gespannt wann...
Hallo, mich würde mal interessier...
also mir gefällt das video sehr&...
is eh gut
Hi Ralf, danke für dein Feedback...
Hallo zusammen, ich bin jetzt kn...
also mir gefällt das video sehr g...
:D :P Hast du denn eine alternati...
Also ich stimmt euch absolut nich...
inzwischen hat das video sogar 13...
Hi Stef, gut zu wissen, dass der...
Das mit den Alternativen ist ganz...