Schwachstellen in PHProjekt geschlossen
Version 5.2.1 der Open-Source Groupware PHProjekt behebt mehrere Sicherheitslücken und zahlreiche andere Fehler. Unter anderem war es möglich, mit SQL-Injection auf die Datenbank von PHProjekt zuzugreifen.
- Daniel Bachfeld
Version 5.2.1 der Open-Source Groupware PHProjekt behebt mehrere Sicherheitslücken und zahlreiche andere Fehler. Zudem wurde die Passwort-Verschlüsselung verbessert, um so genannte Rainbow-Table-Angriffe zum Knacken der Passwörter zu erschweren.
Über die vom Sicherheitsdienstleister n.runs gefundenen Lücken war es authentifizierten Anwendern möglich, mittels SQL-Injection auf die Datenbank von PHProjekt zuzugreifen. Zudem ließen sich über das Kalender- und Dateimanagement-Modul eigene PHP-Dateien hochladen und ausführen. Darüber hinaus wiesen mehrere Module Cross-Site-Scripting-Schwachstellen (XSS) auf, die sich trotz des XSS-Filters von PHProjekt ausnutzen ließen. Der Hersteller Mayflower empfiehlt, so bald wie möglich auf die neue Version zu wechseln.
Siehe dazu auch:
- PHProjekt 5.2.1: security and bugfix update, Fehlerbericht von PHProjekt
- Security Advisory PHProjekt 5.2.0 , Ăśbersicht der von n.runs gefundenen Fehler
(dab)
