Seite 1 von 1
Sicherheitslücke!
Verfasst: Mi 20. Aug 2008, 16:11
von AH_JohannesTroeger
Hallo zusammen,
da der webEdition Support keinerlei Reaktion auf mein entdecktes Leck gibt, gehe ich nun den Weg über die tolle webEdition Community.
Also folgendes ist bei jedem webEdition Projekt möglich:
http://domain.tld/webEdition/***.php *edit*
Navigieren? Kein Problem der Parameter 'dir' macht es möglich...
Das tolle an diesem Leck ist auch das Google diese Seiten gerne auflistet. Also macht mal ein wenig Druck damit ein Fix dafür geschrieben wird!!
Verfasst: Mi 20. Aug 2008, 16:14
von urlaubsland-polen
Das ist die berühmte Hintertür...
Verfasst: Mi 20. Aug 2008, 16:30
von mobby
Da sollte man was machen.
@AH_JohannesTroeger: Kannst du den "Link" rausnehmen, damit hier keiner auf Dumme Gedanken kommt?
Verfasst: Mi 20. Aug 2008, 16:37
von urlaubsland-polen
Ich würden den Link drin lassen, damit der Support mal etwas rotiert und eine Lösung anbietet. Ich wette meinen nicht vorhandenen Hut, dass AH_JohannesTroeger schon vor einer Weile den Support informiert hat und nichts passierte...
Verfasst: Mi 20. Aug 2008, 16:44
von e_herrmann
Hi,
ohne Link ist jetzt nur das Problem, dass man mit der Meldung nichts mehr anfangen kann.
Aus der Beschreibung kann ich leider nicht entnehmen was da passiert. Und somit auch nicht einschätzen ob jetzt ein Leck vorliegt.
Grüße Elko
Verfasst: Mi 20. Aug 2008, 16:45
von mobby
Der Support sollte aber nicht auf Kosten anderer rotieren. Das was man selber machen kann; eine Mail an den Support. Ich habe es soeben gemacht. Was mich Wundert: es kommt keine Antwortmail mit einer Ticket-ID. Kam sonst immer.
Falls @AH_JohannesTroeger eine hat, kann er sie hier ja Posten und man kann sich dann auf die ID beziehen.
Verfasst: Mi 20. Aug 2008, 16:46
von Benny Johnson
Wir haben das Problem an unsere Entwicklungsabteilung direkt nach Eingang und Verifikation weitergegeben. Der Fehler wurde bereits für das kommende Update behoben. Außer Directory-Listings ist laut unserer Entwicklungsabteilung aber nichts möglich. Das Update wird diese Woche noch erscheinen.
Verfasst: Mi 20. Aug 2008, 16:48
von AH_JohannesTroeger
Ja schön. Ich hoffe auch das für ältere Projekte (v.2, v.3 etc) ein entsprechender Fix veröffentlicht wird.
Ich habe den Link nun endgültig entfernt!
Verfasst: Mi 20. Aug 2008, 16:55
von urlaubsland-polen
Das mit dem Ticket-System kenne ich auch. Es verschwinden einfach auch Anfragen... Und in diesem Fall sollte der Support nicht für einen einzelnen rotieren, sondern für alle zahlende Anwender.
Verfasst: Mi 20. Aug 2008, 16:59
von mobby
Was ich damit sagen wollte: die sollen rotieren, aber in der Zwischenzeit sollen nicht die Anwendungen der Nutzer dadurch gefährdet werden, in dem die Lücken öffentlich gemacht werden. Infos immer aber keinen Ansporn für Häcker geben. Aber wie gelesen; Rettung naht
Verfasst: Mi 20. Aug 2008, 17:04
von AH_JohannesTroeger
ja aber ein entsprechendes feedback auf meine support-anfrage wäre korrekt gewesen, sonst wär ich auch nicht diesen weg gegangen...
btw. bin ich froh das ich mich noch nur bis ende diesen monats mit webedition auseinandersetzen muss
Verfasst: Fr 22. Aug 2008, 12:45
von mobby
Das Update auf 5.1.1.6 ist jetzt raus. Also ich konnte den Fehler nicht mehr nachvollziehen.
Verfasst: Fr 22. Aug 2008, 13:04
von deemes
Lief bei euch das Update ohne Fehler durch?
Datenbank aktualisieren
Hinweis beim Schritt: Datenbank aktualisieren
010_create_tblversionslog.sql: Einige Datenbankanfragen konnten nicht durchgeführt werden.
...020_insert_tblversionslog.sql
Hat das unangenehme Auswirkungen?