Lücke in Gameserver-Status-Script phgstats geschlossen

Die Entwickler des Gameserver-Status-Scripts phgstats weisen auf eine kritische Sicherheitslücke in ihrem Produkt hin. Aufgrund der fehlenden Initialisierung einer Variablen im PHP-Skript soll es Angreifern unter Umständen möglich sein, eigene Skripte von anderen Servern einzubinden (include) und auszuführen. Betroffen ist die Version 0.5 sowie alle vorhergehenden. In der aktuellen Version 0.52 ist der Fehler behoben.

Mit phgstats lassen sich Status-Daten von Gameservern auf Webseiten veröffentlichen. Derzeit werden Spiele wie American's Army, Battlefield 1942, Call of Duty, Enemy Territory, Half-Life, Unreal Tournament und viele weitere unterstützt. (dab)