Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
--- Sicherheitsnews (https://www.dedies-board.de/wbb2/board.php?boardid=7)
---- Sicherheitsnews-Archiv (https://www.dedies-board.de/wbb2/board.php?boardid=39)
----- PHPKIT reißt Sicherheitslücken (https://www.dedies-board.de/wbb2/thread.php?threadid=998)

Geschrieben von dedie am 09.11.2005 um 18:21:

  PHPKIT reißt Sicherheitslücken

Das Content-Management-System PHPKIT enthält viele schwer wiegende Schwachstellen, die Angreifer zum Einbrechen in den Server ausnutzen könnten – sowohl lokal als auch aus dem Internet. In einer Sicherheitsmeldung des Hardened-PHP-Projekts listet der Autor Christopher Kunz diverse Fehler in der PHP-Skript-Sammlung auf.

Die Liste der Verwundbarkeiten ist lang und umfasst alles, was Angreifern Freude macht: von Cross-Site-Scripting und SQL-Injection über Zugriff auf Passwort-Hashes und lokalen Dateien bis hin zur Ausführung von eingeschleustem Code. Die Autoren der Open-Source-Software wurden vom Hardened-PHP-Projekt nach eigenen Angaben mehrmals über die Lücken informiert; allerdings reagierten sie selbst nach einem Anruf nicht darauf.

Daraufhin hat das Hardened-PHP-Projekt die Schwachstellen nun veröffentlicht, ohne dass Patches dagegen zur Verfügung stehen. In der Sicherheitsmeldung empfehlen die Sicherheitsexperten, PHPKIT nicht länger einzusetzen, da der Hersteller-Support einfach nicht stattfinde. Die letzte offizielle Version der Software datiert auf den 13.09.2004.

QUELLE