Sicherheitslücke 4.3.2 Beta

Gesperrt
MakD
Beiträge: 8
Registriert: Do 14. Aug 2003, 14:32
Wohnort: Marburg
Kontaktdaten:

Sicherheitslücke 4.3.2 Beta

Beitrag von MakD » Fr 27. Jan 2006, 10:01

Hallo Conte´nauten,

ich habe da ein Problem. Ich habe mehrere Contenido Systeme in betrieb von denen „nur “ drei in den letzten Tagen gehackt wurden bzw. versucht wurde, zugriff auf den Server zu erhalten.

Das Problem unter 4.4.1 ist hoffentlich mit dem Update auf 4.4.6 behoben worden.

Ich habe aber ein Problem mit den beiden anderen Systemen. Die laufen nämlich beide noch unter 4.3.2 Beta !! Ich weiß – Updaten :oops: . Das ist bei dem einem auch kein Problem. Bei dem zweiten haben wir allerdings via Navigationsmodul und htaccess die Links in Klar-Namen umgeschrieben, so dass der User keine Kryptischen Seitennahmen bekommt und keine Sonderzeichen in Googel erscheinen.

1und1 hat folgendes dazu geschrieben:
Es handelt sich um eine Sicherheitslücke in der auf Ihrem Webspace installierten Software "Contenido". Das Script `front_content.php' erlaubt über den Parameter `cfg[path][contenido]' die Ausführung beliebigen Codes.

Hat jemand eine Idee wie ich diese Sicherheitslücke akut schließen kann bis wir eine Update mit unserem Klar-Namen NavModul getestet haben? Das Bugfix für 4.4.4 funktioniert nämlich nicht, da Contenido 4.3.2 nicht über die Klasse: „class.inuse.php“ verfügt.

Da wir mit der Seite sehr gut im Ranking liegen und ca. 10 – 25Tausend Besucher per Woche zählen, möchten wir ungern Updaten und dabei dieses Feature und wichtige Punkte beim Ranking verlieren.

Ich freue mich auf eure Hilfe :D
MakD
______________________
Contenido 4.6.8 & 4.8.12
MySQL 5.1.54
Linux/Apache
art & weise | StadtMedia

emergence
Beiträge: 10641
Registriert: Mo 28. Jul 2003, 12:49
Wohnort: Austria
Kontaktdaten:

Beitrag von emergence » Fr 27. Jan 2006, 10:28

ich glaube es wird dir nichts anderes wie ein update übrig bleiben...
bei einer 4.3.2 gibt es noch weitere sicherheitslücken... nur das mit der class.inuse.php zu fixen ist keine lösung...

abgesehen davon ist die version wirklich aus dem jahre schnee... und einen tipp kann dir nur mehr jemand geben, der die selbe version im einsatz hat...
*** make your own tools (wishlist :: thx)

Gesperrt