Kontakt    Kaffeekasse    Impressum     Datenschutz     Mediadaten
Joomla Blog - Die Insider Tipps


Blog über das beliebte Content Management System Joomla. Tipps und Tricks zu allen Joomla Themen, Hacks und Fixes, SEO, sowie allgemeinere Webmaster Themen.
Show website in English Show website in French
Unser RSS FeedBleibe auf dem Laufenden mit dem Joomla Blog RSS Feed. Klicke auf das Symbol um den Feed zu abonnieren.

twitter-rss-abo.png Joomla Blog Twitter Feed abonnierenblog4mobile.de  Handyversion von Joomla Blog lesen
mail-axialis.png Joomla Blog per E-Mail abonnieren

 Aug   September 2008   Okt

SMDMDFS
   1  2  3  4  5  6
  7  8  910111213
14151617181920
21222324252627
282930 

Blog Roll


Kategorien

Aktuell gibt es  118 Artikel

Fehler gefunden?

Einfach Wort markieren und Shift & Enter drücken. Vielen Dank!

Anzeige
Add to Technorati Favorites

Eure Backlinks

kommen von:


Ausgewählte Artikel

>> Das Joomla Backup Tutorial
>> Übersicht Template Clubs
 >> Passwort Manager im Test
ALL-INKL.COM Webhosting
>> Meine All-Inkl Erfahrungen

Eure Kommentare

Joomla Toplist
Joomla Blog Vote
JoomlaWatch Stats 1.2.5 by Matej Koval
PU Arcade 2.2g SQL Injection Lücke und Fix Drucken
Dienstag, 20. Mai 2008
Die beliebte und wohl mitunter beste Joomla Extension für Online Spiele, PU Arcade, hat eine winzige Sicherheitslücke, die bereits gefixed wurde. Es hat quasi kaum jemand mitbekommen. Es handelt sich wieder mal um eine Schwachstelle in Sachen SQL Injection. Innerhalb von 5 Jahren ist dies aber erst die zweite PU Arcade Sicherheitslücke, welche wiederum in Rekordgeschwindigkeit behoben wurde.

Mögliche SQL Injection PU Arcade 2.2g

Kaum bekannt gemacht, die winzige Sicherheitslücke. Nur wissen sicherlich auch viele Webmaster die PU Arcade verwenden, nicht von dieser Lücke. Deswegen ein kurzer Blogbeitrag zu diesem Thema. Betroffen ist die aktuelle PU Arcade Version 2.2g. Hier ist eine Schwachstelle in der Datei puarcade.class, welche eine bösartige SQL Injection möglich machen kann. Der PUA Admin Pragma bittet darum den empfindlichen Code Ausschnitt nicht zu veröffentlichen. Ich will dieser Bitte gerne nachkommen. Auch wenn man die Lücke durch einfaches Vergleichen sofort findet.

Absichern durch Mysql_real_escape_string()

Die PHP Funktion mysql_real_escape_string sorgt dafür, dass ein SQL Injection Angriff unmöglich gemacht wird. Sie sollte immer verwendet werden, um Daten vor der Übermittlung an MySQL abzusichern. Gerade PHP / MySQL Anfänger, zu denen ich mich zähle, vergessen gerne das Thema Sicherheit. Nicht aus böser Absicht, sondern aus reinem Unwissen. Deshalb der deutliche Hinweis auf diese PHP Funktion und deren Anwendung.

>> Detalliertere Infos und Beispiele zu mysql_real_escape_string()

Einfacher und schneller FIX

Der Fix dieser Lücke ist denkbar einfach. Ihr ladet die Patch Datei aus dem ersten Post im diesem Forenbeitrag. Die Datei puarcade.class wird entpackt und in das Verzeichnis /components/com_puarcade hochgeladen. Dabei wird die vorhandene Datei überschrieben. Achtet darauf, ob ihr puarcade.class vorher schon einmal selbst modifiziert habt, damit ihr eure Änderungen nicht versehentlich überschreibt.

Damit in Zukunft eine solche Sicherheitslücke schneller bekannt gemacht wird, werde ich Pragma (Admin von PU Arcade) vorschlagen, einen RSS Feed für seine Startseite zu integrieren - hier meldet er immer News in Sachen PU Arcade. So kann man sich dann per Feedreader über PUA News informieren lassen.


Kommentare
Neuer Kommentar Suche RSS
Marko Master  - Danke     ID:84.183.105.xxx 20-05-2008 21:05:33
für den Tipp...ich habe das ganze schon gefixt...


Mfg Marko Master
Antworten | Zitat
0 0
Joomla Blog   ID:217.235.181.xxx 20-05-2008 21:07:25
Ich hatte das echt fast verpasst, da ich nicht täglich im PU Arcade Forum unterwegs bin :) Bin gespannt, ob's bald einen RSS Feed geben wird...
Antworten | Zitat
0 0
Joomla Blog   ID:217.235.161.xxx 30-05-2008 11:54:57
Nach Rücksprache:

Der Entwickler von PU Arcade empfiehlt den Foren RSS Feed zu abonnieren, um auf dem Stand der Dinge zu bleiben. So verpasst man keine Sicherheitsmeldungen und bleibt auf dem neusten Stand der PU Arcade Entwicklung.
Antworten | Zitat
0 0
Kommentar schreiben
Name:
Email:
 
Website:
Titel:
UBBCode:
[b] [i] [u] [url] [quote] [code] [img] 
 
 
Bitte den Anti-Spam Code eingeben.

3.26 Copyright (C) 2008 Compojoom.com / Copyright (C) 2007 Alain Georgette / Copyright (C) 2006 Frantisek Hliva. All rights reserved."

Weitere Artikel, die dich interessieren könnten:
Deine StimmeRSS Feed
rss-beitrag.pngabonieren
Link hinzufügen zu: Infopirat Link hinzufügen zu: Webnews Link hinzufügen zu: Oneview Link hinzufügen zu: Readster Link hinzufügen zu: Favoriten.de Link hinzufügen zu: Mr. Wong Link hinzufügen zu: Seekxl Link hinzufügen zu: BoniTrust Link hinzufügen zu: Linkarena
Danke für Deinen Besuch
Amazon Anzeige

Vorheriger Artikel: >> Sicherheitslücke in Joomla Visites 1.1 RC2.

Tags:  pu arcade 2.2g sql injection arcade joomla lücke fix sql injection