Current time: 12-24-2024, 02:32 AM Hello There, Guest! (LoginRegister)


Post Reply 
PHP-Including in ispCP Omega
Author Message
ofox Offline
Junior Member
*

Posts: 29
Joined: Oct 2009
Reputation: 0
Post: #1
PHP-Including in ispCP Omega
Aus Internet (Übersetzung)
Quote: Version: ispCP Omega 1.0.4, möglicheweise andere.
Gefahr: Hoch
Exploit: Kein
Beschreibung:
Bug ermöglicht dem remote User ein PHP-script auf ziehl-system ausführen.
Der Bug ist mit der ungenügenden Bearbeitung der Eingangsdaten im Parameter "net2ftp_globals[application_skinsdir]" des scripts tools/filemanager/skins/mobile/admin1.template.php verbunden.
Der remote Benutzer kann mit Hilfe der speziell formierten Anfrage ein PHP-script auf dem zweckbestimmten System mit den Privilegien des Web-Servers ausführen.
Für die diese Verletzlichkeit soll die Option "register_globals" in PHP-Konfigurationsdatei aktiviert sein.
Hersteller: http://www.isp-control.net
Lösung: Zurzeit gits nicht.

Ist das Problemm schon bekannt?
03-16-2010 08:22 PM
Find all posts by this user Quote this message in a reply
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #2
RE: PHP-Including in ispCP Omega
Ja, ist es!
--> http://www.isp-control.net/ispcp/changeset/2686
Es wurde auch schon das NET2FTP Team darüber informiert.

Greez BeNe
03-16-2010 08:25 PM
Visit this user's website Find all posts by this user Quote this message in a reply
ofox Offline
Junior Member
*

Posts: 29
Joined: Oct 2009
Reputation: 0
Post: #3
RE: PHP-Including in ispCP Omega
(03-16-2010 08:25 PM)BeNe Wrote:  Ja, ist es!
--> http://www.isp-control.net/ispcp/changeset/2686
Es wurde auch schon das NET2FTP Team darüber informiert.

Greez BeNe
Kann man dies ohne upgade auf 1.0.5 fixen?
(This post was last modified: 03-16-2010 08:50 PM by ofox.)
03-16-2010 08:49 PM
Find all posts by this user Quote this message in a reply
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #4
RE: PHP-Including in ispCP Omega
Ja weil es eigentlich nur ein Problem mit Net2FTP ist und dem Theme.
Wir nutzen zwar Net2FTP in ispCP, können aber auch Problemlos ohne.

Greez BeNe
03-16-2010 08:51 PM
Visit this user's website Find all posts by this user Quote this message in a reply
rethus Offline
Junior Member
*

Posts: 202
Joined: May 2009
Reputation: 3
Post: #5
RE: PHP-Including in ispCP Omega
Wegen solchen Bugs würde ich mich total über eine htaccess-integration freuen, welche alle unterliegenden Verzeichnisse direkt gegen unbefugten Zugriff absichert.
Habe da kürzlich gesehen, dass es da auch ein Workarround gibt, welcher eine PHP-GUI erlaubt, aber dennoch auf htpasswd zugreift.
10-20-2010 04:24 AM
Find all posts by this user Quote this message in a reply
ShadowJumper Offline
Member
***

Posts: 287
Joined: Sep 2008
Reputation: 2
Post: #6
RE: PHP-Including in ispCP Omega
(10-20-2010 04:24 AM)rethus Wrote:  Wegen solchen Bugs würde ich mich total über eine htaccess-integration freuen, welche alle unterliegenden Verzeichnisse direkt gegen unbefugten Zugriff absichert.
Habe da kürzlich gesehen, dass es da auch ein Workarround gibt, welcher eine PHP-GUI erlaubt, aber dennoch auf htpasswd zugreift.

Der o.g. "Bug" funktioniert aber nur wenn "register_globals" auf ON ist. Und das sollte eigentlich nie der Fall sein.

Leuten die sagen das "ihre" Scripte das aber brauchen, denen sage ich ganz klar "Dann lernt mal programmieren!".

Von daher ist das keine "richtige" Lücke, sondern betrifft eher "schlecht" bzw. "unsicher" konfigurierte Server.
10-20-2010 05:11 AM
Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 2 Guest(s)