+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+--- Thread: PHP-Including in ispCP Omega (/thread-10035.html)
PHP-Including in ispCP Omega - ofox - 03-16-2010 08:22 PM
Aus Internet (Übersetzung)
Quote: Version: ispCP Omega 1.0.4, möglicheweise andere.
Gefahr: Hoch
Exploit: Kein
Beschreibung:
Bug ermöglicht dem remote User ein PHP-script auf ziehl-system ausführen.
Der Bug ist mit der ungenügenden Bearbeitung der Eingangsdaten im Parameter "net2ftp_globals[application_skinsdir]" des scripts tools/filemanager/skins/mobile/admin1.template.php verbunden.
Der remote Benutzer kann mit Hilfe der speziell formierten Anfrage ein PHP-script auf dem zweckbestimmten System mit den Privilegien des Web-Servers ausführen.
Für die diese Verletzlichkeit soll die Option "register_globals" in PHP-Konfigurationsdatei aktiviert sein.
Hersteller: http://www.isp-control.net
Lösung: Zurzeit gits nicht.
Ist das Problemm schon bekannt?
RE: PHP-Including in ispCP Omega - BeNe - 03-16-2010 08:25 PM
Ja, ist es!
--> http://www.isp-control.net/ispcp/changeset/2686
Es wurde auch schon das NET2FTP Team darüber informiert.
Greez BeNe
RE: PHP-Including in ispCP Omega - ofox - 03-16-2010 08:49 PM
(03-16-2010 08:25 PM)BeNe Wrote: Ja, ist es!Kann man dies ohne upgade auf 1.0.5 fixen?
--> http://www.isp-control.net/ispcp/changeset/2686
Es wurde auch schon das NET2FTP Team darüber informiert.
Greez BeNe
RE: PHP-Including in ispCP Omega - BeNe - 03-16-2010 08:51 PM
Ja weil es eigentlich nur ein Problem mit Net2FTP ist und dem Theme.
Wir nutzen zwar Net2FTP in ispCP, können aber auch Problemlos ohne.
Greez BeNe
RE: PHP-Including in ispCP Omega - rethus - 10-20-2010 04:24 AM
Wegen solchen Bugs würde ich mich total über eine htaccess-integration freuen, welche alle unterliegenden Verzeichnisse direkt gegen unbefugten Zugriff absichert.
Habe da kürzlich gesehen, dass es da auch ein Workarround gibt, welcher eine PHP-GUI erlaubt, aber dennoch auf htpasswd zugreift.
RE: PHP-Including in ispCP Omega - ShadowJumper - 10-20-2010 05:11 AM
(10-20-2010 04:24 AM)rethus Wrote: Wegen solchen Bugs würde ich mich total über eine htaccess-integration freuen, welche alle unterliegenden Verzeichnisse direkt gegen unbefugten Zugriff absichert.
Habe da kürzlich gesehen, dass es da auch ein Workarround gibt, welcher eine PHP-GUI erlaubt, aber dennoch auf htpasswd zugreift.
Der o.g. "Bug" funktioniert aber nur wenn "register_globals" auf ON ist. Und das sollte eigentlich nie der Fall sein.
Leuten die sagen das "ihre" Scripte das aber brauchen, denen sage ich ganz klar "Dann lernt mal programmieren!".
Von daher ist das keine "richtige" Lücke, sondern betrifft eher "schlecht" bzw. "unsicher" konfigurierte Server.