ThreadJoomla

Leck in CKforms 1.3.4

Kategorie

Joomla

Gelesen

5646

Antworten

Erstellt von: gelöschter BenutzerDatum: 08.07.2010, 11:13 Uhr

Startbeitrag

Originaler Foreninhalt in modernisierter Darstellung.

Zur Kategorie

gelöschter Benutzer

Threadstart · Joomla 5646 mal gelesen · 08.07.2010, 11:13 Uhr

Hallo zusammen!

Falls wer nicht regelmäßig in den joomla-Foren vorbeischaut, dem sei gesagt, das CKforms auch in der Version 1.3.4 wohl ein riesiges Leck hat.

Zumindest scheint eine joomla-Installation mit der Komponente so gefährdet zu sein, das mein Hoster eine Rund-Mail verfasst hat, und alle Benutzer dieser Software auffordert, sie zu deinstallieren.

Eine öffentliche Verwendung ist deswegen bei meinem Hoster untersagt.

Links zum Thema:

secunia.com/secunia_research/2010-81/

secunia.com/secunia_research/2010-82/

www.joomlaportal.de/sicherheit-joomla-1-5-und-erweiterungen/226720-joomla-ckforms-component-multiple-vulnerabilities.html

Gruß

Marcus

Antworten

5 Beiträge

Mediengestalter Content Halbgott (512 Beiträge)

am 08.07.2010, 14:39 Uhr schrieb webart_workers

Antwort

und wieder mal bestätigt, dass umsonst = nicht gleich gut ist.
also ruhig mal 20 öre für ein modul/plugin/componente investieren, dann weiss man wo man dran ist

frohes schaffen

Joomla Webdesign Freiburg, Lörrach, Basel - SEO/SEM - Support - Security - Schulungen: webart-workers | joomla services
Joomla Portfolio: [url="http://www.webart-workers.de/portfolio/webdesi

gelöschter Benutzer

am 08.07.2010, 15:22 Uhr schrieb

Antwort

webart_workers schrieb:

und wieder mal bestätigt, dass umsonst = nicht gleich gut ist.
also ruhig mal 20 öre für ein modul/plugin/componente investieren, dann weiss man wo man dran ist

frohes schaffen

Genau, Software die was kostet, hat keine Fehler .

gelöschter Benutzer

am 08.07.2010, 15:31 Uhr schrieb

Antwort

Chance schrieb:

Genau, Software die was kostet, hat keine Fehler .

Das würde ich so pauschal nicht sagen!

Aber im Normalfall sind die Fehler nicht so dramatisch, das ein Hoster sich genötigt sieht, die Nutzung zu untersagen.

Gruß

Marcus

gelöschter Benutzer

am 08.07.2010, 15:52 Uhr schrieb

Antwort

Marcus schrieb:

Chance schrieb:

Genau, Software die was kostet, hat keine Fehler .

Das würde ich so pauschal nicht sagen!

Aber im Normalfall sind die Fehler nicht so dramatisch, das ein Hoster sich genötigt sieht, die Nutzung zu untersagen.

Gruß

Marcus

War auch sarkastisch gemeint.

JDev Xer Content Gott (1224 Beiträge)

am 08.07.2010, 16:46 Uhr schrieb romacron

Antwort

Vielen Dank für die Warnung.
Nun kenne ich CK nicht und generell auf das Problem mit den Form-Komponenten eingehen.

Die Form Components verfügen über ein Menge Luxus. Es können nicht nur einfach Formulare erstellt werden, die dann per Mail an den Admin gesandt werden sondern halbe Anwendungen erstellt werden.

Prima kann man ein "Interessenten" Formular anlegen + Eintrag in die Datenbank + Mail Admin.
Wenn der User das Formular sendet, schreibt die Fo-Co das gleich in die Datenbank.
Gehen wir davon aus, dass nur angemeldete User das Formular sehen und senden können.
Nun tippelt der findige User mit dem Firebug locker flockig mal <input name="user_id" value="62"> darf man davon ausgehen, dass das Formular dem Admin zugeordnet werden kann.
(local mal überprüfen)

Eine anderes schönes Beispiel, immer wieder gemacht

Wir bauen ein kleines Formular für den User mit dem er Content(für die com_content) ohne viel drumherum senden kann. So ist es ein Kinderspiel mal ordentlich durch die Datenbank zu rauschen und andere Inhalt ein wenig zu modifizieren.

Validierung der Daten erfolgt über javascript ggf. rudimentär über ein vorgegebenes PHP-Scriptchen.

Von daher, wenn schon eine Formkomponente dann chronoforms und die dann auch sauber anpassen (Php anpassen usw).

Joomla macht vielen Leuten den Zugang zu einer fetten Web-Seite recht einfach. Was dabei immer wieder untergeht. Ohne Fachwissen klappt es nicht und kann ganz schnell zu einer gehackten Seite führen.