CMS IlchClan gibt Logindaten preis
FĂĽr das auf PHP und MySQL beruhende Content-Management-System ilchClan stehen zwar seit Anfang Februar Sicherheitsupdates bereit, allerdings scheinen diese bislang erst bei wenigen Betreibern angekommen zu sein.
Für das auf PHP und MySQL beruhende Content-Management-System ilchClan stehen zwar seit Anfang Februar Sicherheitsupdates bereit, allerdings scheinen diese bislang erst bei wenigen Betreibern angekommen zu sein. Wie heise Security nach einem Leserhinweis bei mehreren Stichproben feststellte, klafft in vielen Servern immer noch eine SQL-Injection-Schwachstelle, mit der sich unter anderem die Nutzerdatenbank auslesen lässt – inklusive Nutzernamen und Passwort-Hashes. Mit der Verfügbarkeit vorberechneter Rainbow-Tables lassen sich MD5-Hashes innerhalb kurzer Zeit knacken.
Im Test dauerte des Ermitteln eines Passworts durch den Online-Dienst plain-text.info weniger als zwei Minuten. Anschließend kann sich ein Angreifer mit den so gewonnenen Daten anmelden. Anwender sollten so bald wie möglich das Update installieren.
Siehe dazu auch: (dab)
- Sicherheitsupdate H fĂĽr 1.0.5, Meldung auf ilch.de
