Jump to content
xt:Commerce Community Forum

Spaw Wysiwyg

zirkonium

By zirkonium,
in Allgemeine Diskussionen

Recommended Posts

zirkonium Newbie

zirkonium

Posted
Posted

Hallo!

Ich habe gerade gelesen das es Sicherheitsprobleme mit dem SPAW WYSIWYG geben soll, konnte aber nichts genaueres rausbekommen. Wei? evtl. jemand was da dran ist an der Sache?

---------------------------------------------------------------------------------------

Hier >LINK< habe ich folgendes gelesen:

Der Wysiwyg-Editor "Spaw" enth?lt ein gravierendes Sicherheitsleck, welches unter bestimmten Umst?nden, Hackern den Server komplett zu F?ssen legt.

Der Bug ist im Prinzip der Gleiche, wie in der myEgallery 2.x.

Wer den Editor einsetzt, sollte ihn unverz?glich deinstallieren. Nicht nur deaktivieren, sondern L?SCHEN.

---------------------------------------------------------------------------------------

Kann ich den XT-Commerce jetzt vergessen? :cry:

CU

Michael

Link to comment
Share on other sites
zirkonium Newbie

zirkonium

Posted
  • Author
Posted

Hi!

Ich denke schon da? das ein Problem sein k?nnte. Webhoster k?nnten ihren Kunden verbieten XT-Commerce zu installieren, da angeblich der "Server komplett zu F?ssen legt" oder ist das v?llig ?bertrieben dargestellt? Bis wohin reicht das Problem? Nur innerhalb des Kundenaccounts oder dar?berhinaus bis zu fremden Kundenaccounts auf dem gleichen Server oder gar bis zum Root? :grml:

CU

Michael

Link to comment
Share on other sites
Guest HHGAG

Guest HHGAG

Posted
Posted

Man sollte zumindestens alles durchlesen bzw. auch die nicht funktionierenden Links ausprobieren (man kann ja lesen was drauf steht): :stupid:

Also:

unter https://testzone.secunia.com/advisories/10451/

steht die Beschreibung des Problems & auch die L?sung! (unter Solution, wenn es wieder ?bersehen werden sollte).

SPAW Editor PHP Arbitrary File Inclusion Vulnerability

Secunia Advisory:

SA10451

Release Date:

2003-12-18

Critical:

Highly critical

Impact:

System access

Where:

From remote

Software:

SPAW Editor PHP Edition 1.x

Description:

A vulnerability has been reported in SPAW Editor PHP Edition, which can be exploited by malicious people to compromise a vulnerable system.

The vulnerability is caused due to missing input validation, allowing arbitrary scripts on remote systems to be included.

No more information is currently available.

Solution:

Update to version 1.0.4.

http://www.solmetra.com/en/disp....roducts...n_spaw_download

Provided and/or discovered by:

The vendor credits discovery of the vulnerability to Ashtarot of Zone-H.org.

Original Advisory:

Version 1.0.4 Release Notes:

http://sourceforge.net/project/shownotes.p...lease_id=204256

Link to comment
Share on other sites
zirkonium Newbie

zirkonium

Posted
  • Author
Posted

Hai!

Ja, lesen kann ich und ich habe auch bemerkt das da falsch verlinkt wurde, trotzdem bekam ich gestern Nacht einen 404er.

Ich nehme mal an das in XTC die Version 1.0.4 drinsteckt.

Wenn ich das richtig verstehe gibt es die gefixte Version schon seit dem 16.12.2003. Warum gibt's dann solch ein Geschrei bei den PHPNukern noch am 17.02.2004? :stupid: Gibt es da noch ein weiteres Sicherheitsloch oder sind die nur etwas langsam?

CU

Michael

Link to comment
Share on other sites
mzanier Newbie

mzanier

Posted
Posted

ne missing input validation, ist nix anders, als das der inhalt nicht ?berpr?ft wird. d.h. du kanst im admin ein script in den spaw editor eingeben und dann irgendwas mit deinem eigenen account anstellen.

das wurde nur so gro? rausgeschrien, weil viele den spaw editor im kunden frontend nutzn, wir jedoch nicht, daher kein sicherheitsrisiko.

au?er du hast intentionen dich selbst zu hacken, jedoch kann man auch nicht mehr machen, als mit nem eigenen php script das man einfach auf den server ladet, also m?sste der hoster dir auch gleich den ftp zugang wegnehmen weil du ein zu gro?es seicherheitsrisiko bist.. =)

Link to comment
Share on other sites
Guest HHGAG

Guest HHGAG

Posted
Posted

Manchmal werden solche Sachen aufgebauscht, wenn es eigentlich schon erledigt ist.

Und au?erdem hast doch gelesen was mzanier geschrieben hat. Ohne Admin Rechte kommt man an den Spaw sowieso nicht dran.

Link to comment
Share on other sites
  • 1 month later...
stipo Newbie

stipo

Posted
Posted

Hallo Mario,

da bist Du wohl auf dem Holzweg...

Und wie man den ausnutzen kann, denn das Admin Verzeichnis liegt jedem frei zug?nglich zur verf?gung.

Hier mal ein Hack angriff

****

L?sung: .htacces ins Verzeichnis rein, dann geht dem nicht mehr.

Gru? Stephan

Link to comment
Share on other sites
  • 2 weeks later...
MBrode Newbie

MBrode

Posted
Posted

Hi zusammen,

nach dem Sicherheitsupdate habe ich auch die Probleme mit dem error 403 und den Zugriffrechten f?r den Adminbereich. Ich hab auch genau die Datei erstellet und in admin/includes/.htaccess eingef?gt, aber funzt nicht..

kann auch eine htaccess datei in das admin verzeichniss gelegt werden mit dem inhalt



<Files *.php>

Order Deny,Allow

Deny from all

</Files>

oder nochmals den fix runterladen, auch dort ist eine htacess enthalten.

was kann man da machen??

Gru? Michael

Stand RC 1.2

Link to comment
Share on other sites
Guest HHGAG

Guest HHGAG

Posted
Posted

Das ist im Moment nur eine Notl?sung, um eventuelle existierende Sicherheitsl?cken im Spaw zu eliminierern. Wenn Du mit dem Spaw arbeitest, die .htaccess umbenennen und nach der Arbeit wieder zur?ck umbenennen.

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

Go to topic listing
×
×
  • Create New...