ThWboard Support-Forum (Archiv)

Ort: / Boardübersicht / Announcements / Kritische Sicherheitsluecke in allen ThWboard-Versionen


Seite 1 von 1

dp schrieb am 15.01.2007 um 17:25 Uhr

Beschreibung
Alle ThWboard-Versionen sind von einer kritischen Sicherheitsluecke betroffen, die unter bestimmten Umstaenden* das Ausfuehren von Code auf dem Server erlaubt, mindestens jedoch das Ausfuehren von SQL-Statements.

Wir empfehlen daher dringend den nachfolgenden Patch einzuspielen, da uns bereits ein fertiger (zur Zeit nicht oeffentlicher) Exploit vorliegt, der diese Schwachstelle ausnutzt.

Das Downloadarchiv fuer Version 2.84 wurde bereits aktualisiert. Benutzer aelterer Versionen sollten zur aktuellen Version updaten oder den Patch manuell anwenden.

Patch anwenden
In inc/header.inc.php um Zeile 559

".$pref."style WHERE styleid=$board[styleid]");

ersetzen durch

".$pref."style WHERE styleid=".intval($board['styleid']));

Eine diff-Datei im unified-Format ist ebenfalls verfuegbar. Wer eine unmodifizierte ThWboard-Version verwendet, kann auch die komplette Datei ersetzen.

Diagnose
Ob eine ThWboard-Installation mit dem oben erwaehnten Exploit angegriffen wurde, laesst sich daran erkennen, dass ein neuer Adminbenutzer mit dem Namen 'suntzu' erstellt wurde.

* Falls Templates im Adminbereich beschreibbar sind.

hevtig schrieb am 16.01.2007 um 10:17 Uhr

Vielen Dank für die Info!

Grüße

fingersD schrieb am 05.02.2007 um 12:47 Uhr

@dp - thanx

Seite 1 von 1