Advanced search  

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Pages: [1]   Go Down

Author Topic: update.php Risiko?  (Read 3001 times)

0 Members and 1 Guest are viewing this topic.

adrian h.

  • Coppermine newbie
  • Offline Offline
  • Gender: Male
  • Posts: 4
    • Westfalenfoto
update.php Risiko?
« on: April 07, 2009, 09:04:49 pm »

Hallo

Ich habe mir grade mal Gedanken um die update.php gemacht. Da stehen ja reichlich viele Daten drin.

Um SQL-Injections durch Hacker zu vermeiden sollte man den Standard-Präfix für die Datenbank in einen zufälligen Wert, wie z.B. 4i32a_, ändern. Oft benutzten Angreifer öffentlich gemachte Exploits aus dem Internet. Diese Exploits basieren i.d.R. darauf, dass der Standard-Präfix wie z.B. von Coppermine benutzt wird. Ist dieser geändert, ist es für einen Angreifer schwieriger diesen Exploit auszunutzen. So weit, so gut.

Auf so gut wie jeder Coppermine-Installation im www kann ich als Besucher aber die update.php im Coppermine-Verzeichnis aufrufen und sehe u.a. auch den Tabellenpräfix. Das was dort angezeigt wird ist doch für jeden Hacker interessant, oder nicht?

Sehe ich das jetzt etwas übertrieben und mache mir zu viele Gedanken? ???

Wie auch immer, ich habe die update.php bei mir gelöscht und schicke sie nur bei Bedarf auf den Server.
Logged

Joachim Müller

  • Dev Team member
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 47843
  • aka "GauGau"
    • gaugau.de
Re: update.php Risiko?
« Reply #1 on: April 08, 2009, 08:42:41 am »

Wie auch immer, ich habe die update.php bei mir gelöscht und schicke sie nur bei Bedarf auf den Server.
Kannst Du machen, schadet zumindest nix. In der Regel werden die Leute aber Opfer, weil sie ihre Applikation nicht auf dem aktuellsten Stand halten. In der Regel kommen Patches bei uns heraus, sobald eine Schwäche bekannt wird, aber noch bevor es einen Exploit gibt, den Script Kiddies nutzen könnten. Natürlich können wir keine Garantie geben, dass das immer so sein wird.

In der Tat sehen auch wir die öffentliche Verfügbarkeit des Update-Tools als problematisch an, weswegen der Mechanismus für cpg1.5.x auch geändert wurde. Für cpg1.4.x spreche ich noch keine Empfehlung aus, den Updater zu löschen, da mir noch kein Exploit bekannt wurde, der das ausnutzen würde. Wer das aber tun mag (den Updater nach verwendung löschen), weil er besorgt ist in Sachen Sicherheit, der möge das tun, sollte sich aber bewusst sein, dass das nicht die Pflicht zum regelmäßigen Updaten in irgend einer Form beeinflußt.
Logged
Pages: [1]   Go Up
 

Page created in 0.025 seconds with 19 queries.