SQL-Sicherheitslücke in Open-Source-Tool MyPHPWebhosting

Sicherheit

Der schon vor einer Woche bei der Mailingliste Bugtraq gemeldete Sicherheitsfehler ist jetzt wieder in der Diskussion. Wahrscheinlich, weil doch eine Menge Websites mit dem Open-Source-Tool ihre datenbank-basierten Websites betreiben.

Das Tool “PHPMyWebHosting”, auf dem zahlreiche Websites aufbauen, ist offen für Angriffe durch modifiziert gesendete SQL-Befehle (von Sicherheitsexperten “SQL injection attack” genannt).

Die Unsicherheit versteckt sich im Script “includes/functions/pmwh.php” und ist Resultat einer falsch konstruierten SQL-Abfrage, die “inadäquate” HTML-Formularfunktionen nutzt, berichtet Bugtraq. Damit kann der Code einen entfernten Client als Webmaster authentifizieren und so fremde SQL-Abfragen zulassen.

Trivial gesagt, könnte sich ein Angreifer auf diese Weise wichtige Daten aus der Datenbank stehlen (etwa Benutzer-Informationen) und sie auch verändern. Über die Datenbank könnte der Angreifer, wenn er gut ist, sogar den kompletten Server übernehmen, warnen die Experten. (mk)

Weitere Infos:

SecurityFocus Bugtraq über den MyPHPWebhosting-Fehler

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen