Neues Sicherheitsloch von Gambio, auch in XTC?

[willi1234]

Hallo zusammen,

habe einen newsletter erhalten in dem folgende info stand

GAMBIO, GAMBIO GX, XT-COMMERCE

SECURITY FIX 27.11.2009

SICHERHEITSRISIKO SEHR - HOCH !

DIES IST EIN >>> MUSS <<< UPDATE!

www.********************************************************.de/forum/GAMBIO-GAMBIO-GX-XT-COMMERCE-SECURITY-FIX-27112009-t51482.html

>> die ersten paar leerzeichen müsst ihr wegmachen da die forensoftware dies sonst ersetzt.

Ist euch das bekannt, da ich im xtc auf die schnelle leider nichts gefunden habe. betrifft das nur gambio oder auch xtc da die das im anderen forum (siehe link) so behaupten

Gruß

Willi

[ppreidel]

Wurde mich auch interessieren, anderen bistimmt auch.

Geändert ist:

Nach Zeile 18

if (is_string($string))[/PHP]

ist eine neue Zeile dazu gekommen:

[PHP]$string = preg_replace('/union.*select.*from/i', '', $string);[/PHP]

Jim

[mzanier]

Derzeit ist uns kein funktionierender Exploit bekannt.

Eine Behebung wie bei diesem Patch vorgeschlagen, würde ein (wenn) existstendes Problem auch nicht vollständig Lösen.

Wenn jemand einen Funktionierenden Exploit hat, kan ner uns diesen gerne senden und wir überprüfen dies.

[firefly.com]

Hallo Zusammen,

was haltet Ihr von diesem Update:

***

[url="http://www.ruhrmedia.de/News/gambiogx-sicherheitspatch.html"]

MfG

Steffen

[chpohl]

s. oben .... Beitrag von mzanier

genau darum geht es doch hier

[firefly.com]

...Wenn ihr mir erzählt was ein "funktionierender Exploid" ist und man sehen könnte welches Update der Erstschreiber meinte, dann hätte ich den Link vermutlich kein zweite Mal eingestellt. Mario hatte doch nach Lösungsvorschlägen gefragt.

Einen konstruktiven Beitrag vermisse ich bislang. Bei einem bekannten Sicherheitsloch sollte die Schließung im Interesse tausender xt:C-User sein.

Danke.

Steffen

[chpohl]

Exploit:

Exploit ? Wikipedia

bitte schön

[Vio]

Hallo,

vielleicht geht dieser Link ja durch:

[url="http://www.ruhrmedia.de/News/gambiogx-sicherheitspatch.html"]***

Wäre doch schön zu wissen, was ihr davon haltet.

Grüße

Vio

[firefly.com]

Hallo Vio,

dieser Link wurde in meinem Beitrag gelöscht.

MfG

Steffen

[Andreas04]

... ... Edit

[ppreidel]

Derzeit ist uns kein funktionierender Exploit bekannt

Mit dieser Aussage ist alles gesagt, und Glasklar!

Jim

[xaex]

nicht bekannt bedeutet nicht, dass es keinen gibt.

den gerüchten zur folge soll demnächst veröffentlicht werden wie diese sql-injection funzen soll.

[Andreas04]

... ... Edit

[xaex]

Ich weiss jetzt nicht genau, ob Du den Begriff Exploit auch verstanden hast?

Ob der Erst-Veröffentlicher auch die vermeintliche SQL-Infektion publiziert, halte ich für unwahrscheinlich, weil es keine für das aktuelle XTC-System gibt.

Also nicht alles galuben was da so erzählt wird. Insbesondere dann nicht, wenn das Thema nicht verstanden wird.

ich bin davon überzeugt, dass ich auf deine ratschläge vollkommen verzichten kann..