Vor drei Tagen wurde eine Lücke in Mambo veröffentlicht, die beim Behandeln von globalen Variablen das Einschleusen von Schadcode ermöglicht. Nach einigem Hin und Her scheinen nun folgende Fakten festzustehen:
- Die Lücke ist gefährlich, wenn PHP auf dem Server mit der Einstellung register_globals Off betrieben wird (ja, tatsächlich!),
- und wenn PHP4 in Versionen kleiner als 4.4.1 oder PHP5 in Versionen kleiner als 5.0.4 läuft.
Betroffen ist Mambo bis zur Version 4.5.2.3. Näheres dazu und ein schneller Hotfix findet sich hier.
Ob Joomla auch betroffen ist, ist derzeit noch nicht vollständig klar. Betreiber von Joomla-Sites sollten diesen Thread im Joomla-Forum sehr genau im Auge behalten.
Update [21.11.2005]: Joomla scheint ebenfalls betroffen. Es ist in den nächsten Stunden mit dem Erscheinen der Version 1.0.4 zu rechnen.
Letzte Kommentare