Kritische Lücke in Wiki-System TikiWiki

Angreifer können ohne Authentifizierung einen Server kompromittieren. Ursache der Lücke ist die fehlerhafte Verarbeitung von Parametern im Modul tiki-graph_formula.php, über das ein Server eingeschleuste PHP-Funktionen ausführt.

17

11.10.2007, 15:35 Uhr

Lesezeit: 1 Min.

Security

Von

Daniel Bachfeld

Betreiber des Wiki-Systems TikiWiki sollten ihren Server im Auge behalten: Auf Milworm ist ein Exploit erschienen, der zeigt, wie man mit präparierten URLs PHP-Befehle auf dem Server ausführen kann. Angreifer könnten dadurch ohne Authentifizierung einen Server kompromittieren. Ursache der Lücke ist die fehlerhafte Verarbeitung von Parametern im Modul tiki-graph_formula.php, sodass der Server eingeschleuste PHP-Funktionen ausführt.

Betroffen ist die aktuelle Version 1.9.8 und wahrscheinlich vorhergehende. Ein Update gibt es noch nicht. Als Workaround sollten Anwender das Modul löschen oder umbenennen, bis ein Update erschienen ist. (dab)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Kritische Lücke in Wiki-System TikiWiki

Spiele

1 Monat gratis lesen.Jetzt 1 Monat gratis lesen.

Das digitale Abo für IT und Technik.