Schlagwort-Archive: php

Allgemein, Sicherheit, Verschiedenes

Möglicherweise Backdoor in CMS e107

Schreibe einen Kommentar

Anwender des Content Management System e107 sollten in nächster Zeit ein wachsames Auge auf ihre Installation haben, denn die Gefahr eines Einbruchs durch Angreifer könnte gleich doppelt drohen. So haben die Entwickler zwar am Wochenende die Version 0.7.17 veröffentlicht, die eine kritische Lücke schließt, Berichten zufolge steckt in dieser Version aber eine Backdoor.

Laut einer Analyse des PHP-Quellcodes durch den Sicherheitsspezialisten Bogdan Calin von Acunetix taucht in der Datei class2.php die Zeile if(md5($_COOKIE[‘access-admin’]) == “cf1afec15669cb96f09befb7d70f8bcb”) auf, die ein statisches Cookie definiert.

….

….

Update: Offenbar ist der Webserver e107.org kompromittiert worden. Die Startseite enthält ein JavaScript, das versucht, Anwendern des Internet Explorer verschleierten Code unterzujubeln. Was der Code genau macht, müssen weitere Analysen zeigen. Anwender sollten ersteinmal eine großen Bogen um den Server des Projekts machen, bis der Server restauriert ist.

quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Sicherheit, Verschiedenes

PHP 5.2.12 schließt Sicherheitslücken

Schreibe einen Kommentar

Die PHP-Entwickler haben Version 5.2.12 vorgelegt, die mehr als 60 Fehler korrigiert, was im Wesentlichen die Stabilität erhöhen, aber auch Sicherheitslücken schließen soll. Zwar ist seit Mitte dieses Jahres bereits PHP 5.3 verfügbar, allerdings behindern Probleme bei der Rückwärtskompatibiltät zu einigen verbreiteten PHP-Anwendungen unter Umständen ein Upgrade. Da viele Anwender aus diesem Grund weiterhin noch auf den Zweig 5.2 setzen, wird dieser weiterhin mit Updates versorgt.

quelle : heise.de, hier klicken um den vollen Artikel zu lesen.

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Blog News, Sicherheit, Verschiedenes

Neue phpMyAdmin-Versionen schließen Sicherheitslücken

Schreibe einen Kommentar

Die Datenbankverwaltung phpMyAdmin hat ein sicherheitsrelevantes Update spendiert bekommen. Die neuen Versionen sind 2.11.9.6 und 3.2.2.1. Laut einem Advisory der Entwickler enthalten die Vorgängerversionen zwei Programmierfehler, die Cross Site Scripting (XSS) sowie das Injizieren beliebiger SQL-Befehle erlauben.

quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Verschiedenes

Botnetz-Kontrollserver tarnt Befehle als JPEG-Bild

Schreibe einen Kommentar

Offenbar in dem Versuch, die Kommunikation ihrer Bots über das Netzwerk zu verschleiern, tarnt der Command&Control-Server des Monkif-Botnetzes seine Befehle an die Drohnen rudimentär als JPEG-Bild. Laut Beobachtungen von SecureWorks antwortet der als Webserver arbeitende C&C-Server auf Anfragen der Bots mit einem HTTP-Paket, in dessen Header als Content-Type “image/jpeg” eingetragen ist. Zusätzlich enthält das Paket einen gefälschten, jedoch gültigen JPEG-Header. Der Rest des Pakets enthält statt eines Bildes nur noch einen kodierten Befehl (XOR mit 0x4).

Die Kriminellen wollen damit vermutlich in Firmennetzen installierte Netzwerküberwachungssysteme oder spezielle Bot-Detection-Software austricksen.

Quelle: heise.de, Hier klicken um den vollen Artikel zu lesen.

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Verschiedenes

Update auf PHP 5.2.11 empfohlen

Schreibe einen Kommentar

Die Entwickler der PHP-Programmiersprache empfehlen Entwicklern, ihre Anwendungen auf Basis des PHP-5.2.x-Entwicklungsstrangs auf die neue stabile Version 5.2.11 zu aktualisieren. Sie konzentriere sich auf die Stabilität und enthält über 75 Bugfixes, von denen einige sicherheitsrelevant sind.

Release Notes gibt es HIER

quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.

Share

Beiträge die Sie auch interessieren Könnten:

Abzocke, Allgemein, Blog News, In eigener Sache, Verschiedenes

Update aller Filter und anderer Kostenloser Produkte

Schreibe einen Kommentar

Im moment bin ich dabei meine Filter fuer Firefox in Verbindung mit dem Adblock plus alle schoen neu zu gestalten bzw. nutzloses zeug entfernen etc.

Sei es der allgemeine Filter
der MG filter ( baldiger Browser Game Filter )

oder der huebsche Abzock Filter ( Malware_dialerdomains )

alles zu finden “Hier

So aendert sich fast taeglich einiges an den Filtern, einige abzock Seiten die sehr im rennen sind pflege ich fuer eine Zeit mittlerweile auch schon im normalen Adblock Filter von mir ein und hoffe das es ein wenig Schutz bietet.

Aber auch das Wallpaper Paket wird immer groesser und zwar so das ich nun ein gesondertes Paket erstellt habe was nur die neuen Wallpaper beinhaltet und nicht der jenige der das Vollpaket schon hat nun extra noch mal alles runter laden muss 😉

Alles ist Kostenlos und zwar 100% ohne Kosten oder Abo oder was weiss ich fuer fallen, das meiste findet man unter : “Produkte aus dem Hause vampirboard” bzw. auch unter dem Blogroll link “Download Area

Beim Malware_dialerdomains Filter ueberlege ich im moment noch ob ich da die Malware sachen nicht rausschmeisse da ich gesehen habe das es auch noch einen solchen filter von jemanden gibt und ich dann ggf. nur die Abzock Seiten filtern soll, aber das ueberdenke ich noch 😉

Also ende der eigenen Schleichwerbung und die Frage was ich neben dem Bloggen hier noch die ganze Zeit mache und mir den Schlaf raubt 😉

Gruss und viel spass beim Lesen hier .

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Blog News, In eigener Sache, Verschiedenes

Lücke in WordPress ermöglicht Aussperren des Admins

8 Kommentare

Mit der 2.8-Serie haben die Entwickler kein Glück gehabt, erst vor kurzem wurde ein Sicherheitsrelease veröffentlicht und jetzt ist schon wieder eine weitere, allerdings nicht schwerwiegende, Lücke bekannt geworden.

Mit dieser Lücke ist es möglich, das Administratorpasswort unbefugt zurück zu setzten.

Damit kann sich der Administrator nicht mehr mit seinem alten Passwort einloggen. Das ist zwar nicht direkt sicherheitsrelevant, aber denoch sehr ärgerlich. Immerhin wird das neue Passwort dem Administrator automatisch per E-Mail zugesandt.

Durch die Lücke genügt es aber, das PHP-Modul wp-login.php aufzurufen und den Key-Parameter statt mit einem einzelnen Wert mit einem Array zu füllen, um das Kennwort des WordPress-Admins unbefugt zu löschen.

Es gibt einen Fix für diese Lücke, basierend auf WordPress 2.8.3. Einfach diese diese [1] “Datei” herunterladen und mit der enthaltenen wp-login.php die existierende wp-login.php im Wurzelverzeichnis von WordPress ersetzen.

In diesem Zusammenhang unbedingt lesenswert ist Sergejs Beitrag: „Sicherheit in WordPress: 10 Schritte zum Schutz des Admin-Bereichs“.

quelle : wordpress-deutschland.org

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Blog News, Monstersgame allgemein, Verschiedenes

Server 21 Inoffizielle S21 Grafik Paket / diverses

Schreibe einen Kommentar

Ich habe mal ein Server 21 Inoffizielle Grafik Paket zum download bereit gestellt , die Installation ist wie immer =)
Es Funktioniert ohne weitere Probleme und kann fuer S 21 genutzt werden , es hilft beim schnelleren Seiten Aufbau , und entlastet den Monstersgame Server 21 enorm .

Hier geht es zum Download

Sollt es jemand auf seinem Server oder webspace zum direkt verlinken anbietet so meldet euch , und ich werde den link hier einpflegen 🙂

#######

WordPress 2.5 ist da

Es ist so weit WP 2.5 ist nun da auch schon in Deutscher Sprache , auch wir werden die naechste Zeit auf wp 2.5 upgraten , es ist kein sicherheitsupgrate sondern es kamen viele neuerungen , aber die meisten plugins wurde noch nicht umgeschrieben , so das wir noch auf die plugins warten die wir hier nutzten und dann mit WP 2.5 nutzten koennen .
Also sollte unser Blog mal nicht erreichbar sein , so sind wir gerade an einem Upgrate am arbeiten , und versuchen das so schnellst moeglich fertig zu stellen 🙂

#########

phpbb 3.0.1 steht in der RC 1 schon bereit , das heisst das es bald sicher ein updatet auf den meisten RMS Systemen geben wird und auch im Monstersgame Fan board , wann das sein wird werden wir natuerlich dann mitteilen bzw. ob es schon dann passiert ist .
Wir warten selber noch auf die phpbb3.0.1 finale =)
Wann wir unser Forum https://arcadewelten.eu/phpBB2 auf phpbb3 upgraten ist noch nicht vollkommen sicher , da wir noch auf den download MOD fuer phpbb3 warten .
dann werden wir anfangen das forum auf phpbb3 zu upgraten / konvertieren .

Gruss

Share

Beiträge die Sie auch interessieren Könnten: