Ratman 0 Report post Posted March 2, 2004 ich find nämlich nix zu: Warnstufe: Kritisch Auswirkungen: Umgehung von Sicherheitsmechanismen Angriffsweg(e): von extern Betriebssystem(e): betriebssystemunabhaengig Software: Invision Power Board 1.x Beschreibung: Ueber eine Schwachstelle in Invision Power Board kann ein externer Angreifer eine SQL-Injection-Attacke vornehmen. Das Problem wird dadurch verursacht, dass Eingaben an den Parameter "st" in " search.php" vor der Verwendung in einer SQL-Abfrage nicht ausreichend bereinigt werden. Dies kann der Angreifer ausnutzen, um SQL-Abfragen durch Einspeisen beliebigen SQL-Codes zu manipulieren. Die Sicherheitsluecke ist bestaetigt fuer Version 1.3 und niedriger. Loesung: Aendern Sie den Quelltext dahingehend ab, dass Eingaben ausreichend bereinigt werden. Gemeldet von: Knight Commander Share this post Link to post
Ratman 0 Report post Posted March 2, 2004 flattert als newsletter bei nem freund ein ... um genau zu sein - ne secrity mailinglist a´la bugtrack Share this post Link to post
Anderl72 0 Report post Posted March 2, 2004 (edited) der bug bezieht sich wohl auf die calender.php Wie man HIER lesen kann, wird geraten den Patch vom 01.02. einzuspielen. Der Patch steht auf der Invision Homepage zum DOWNLOAD bereit (Security Patch 01-02-04) Greetz Anderl Edited March 2, 2004 by Anderl72 Share this post Link to post
Ratman 0 Report post Posted March 2, 2004 der bug bezieht sich direkt auf die search.php Share this post Link to post