update.php Risiko? update.php Risiko?
 

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Main Menu

update.php Risiko?

Started by adrian h., April 07, 2009, 09:04:49 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

adrian h.

Hallo

Ich habe mir grade mal Gedanken um die update.php gemacht. Da stehen ja reichlich viele Daten drin.

Um SQL-Injections durch Hacker zu vermeiden sollte man den Standard-Präfix für die Datenbank in einen zufälligen Wert, wie z.B. 4i32a_, ändern. Oft benutzten Angreifer öffentlich gemachte Exploits aus dem Internet. Diese Exploits basieren i.d.R. darauf, dass der Standard-Präfix wie z.B. von Coppermine benutzt wird. Ist dieser geändert, ist es für einen Angreifer schwieriger diesen Exploit auszunutzen. So weit, so gut.

Auf so gut wie jeder Coppermine-Installation im www kann ich als Besucher aber die update.php im Coppermine-Verzeichnis aufrufen und sehe u.a. auch den Tabellenpräfix. Das was dort angezeigt wird ist doch für jeden Hacker interessant, oder nicht?

Sehe ich das jetzt etwas übertrieben und mache mir zu viele Gedanken? ???

Wie auch immer, ich habe die update.php bei mir gelöscht und schicke sie nur bei Bedarf auf den Server.

Joachim Müller

Quote from: adrian h. on April 07, 2009, 09:04:49 PM
Wie auch immer, ich habe die update.php bei mir gelöscht und schicke sie nur bei Bedarf auf den Server.
Kannst Du machen, schadet zumindest nix. In der Regel werden die Leute aber Opfer, weil sie ihre Applikation nicht auf dem aktuellsten Stand halten. In der Regel kommen Patches bei uns heraus, sobald eine Schwäche bekannt wird, aber noch bevor es einen Exploit gibt, den Script Kiddies nutzen könnten. Natürlich können wir keine Garantie geben, dass das immer so sein wird.

In der Tat sehen auch wir die öffentliche Verfügbarkeit des Update-Tools als problematisch an, weswegen der Mechanismus für cpg1.5.x auch geändert wurde. Für cpg1.4.x spreche ich noch keine Empfehlung aus, den Updater zu löschen, da mir noch kein Exploit bekannt wurde, der das ausnutzen würde. Wer das aber tun mag (den Updater nach verwendung löschen), weil er besorgt ist in Sachen Sicherheit, der möge das tun, sollte sich aber bewusst sein, dass das nicht die Pflicht zum regelmäßigen Updaten in irgend einer Form beeinflußt.