Sicherheitsproblem der Geeklog/Gallery-Integration

Mittwoch, 10. Dezember 2003, 09:30 Uhr

Beitrag von: Dirk

Ein SecurityFocus-Artikel beschreibt die möglichen Gefahren von register_globals=on - anhand der Geeklog/Gallery-Integration. Die Folgen: Eine Site, die diese verwendet, kann zum Spammen missbraucht oder gar gehackt werden.

Der Kern des Problems ist folgende Zeile:

require_once($GEEKLOG_DIR . '/lib-common.php');

die in der Gallery-Integration mehrfach vorkommt. Die Variable $GEEKLOG_DIR kann, da register_globals für Geeklog "on" sein müssen, überschrieben werden und man kann damit beliebige Dateien von praktisch überall her einbinden.

Als kurzfristige Abhilfe wird empfohlen, statt der Variablen den korrekten Pfad fest einzutragen, d.h.

require_once('/pfad/zur/lib-common.php');

Weitere Informationen finden sich auch in dem Artikel, den Tony zum Thema auf geeklog.net gepostet hat.

Es sei noch einmal betont, dass das Problem nur diejenigen betrifft, die die Geeklog/Gallery-Integration verwenden. Geeklog selbst ist von dem Problem nicht betroffen.

bye, Dirk

Sicherheitsproblem der Geeklog/Gallery-Integration | 1 Kommentar(e) | Neuen Account anlegen

Die folgenden Kommentare geben Meinungen von Lesern wieder und entsprechen nicht notwendigerweise der Meinung der Betreiber dieser Site. Die Betreiber behalten sich die Löschung von Kommentaren vor.

Autor: Dirk am Montag, 29. Dezember 2003, 15:57 Uhr

Mittlerweile gibt es ein aktualisiertes Geeklog / Gallery-Paket, das die beschriebenen Probleme nicht mehr hat.

Geeklog-Links

Kategorien

Anmelden

Was ist neu?

ARTIKEL

KOMMENTARE letzte 2 Tage

TRACKBACKS letzte 2 Tage

LINKS letzte 2 Wochen

DOWNLOADS letzte 14 Tage

Termine

Sicherheitsproblem der Geeklog/Gallery-Integration

Weiterführende Links

Optionen