Sicherheits-Update für Mambo
Die Entwickler des Content-Management-Systems Mambo haben Version 4.6.4 vorgelegt, in der drei Sicherheitslücken behoben sind.
Die Entwickler des Content-Management-Systems Mambo haben Version 4.6.4 vorgelegt, in der drei Sicherheitslücken behoben sind. Mit manipulierten articleid- und mcname-Parametern war es laut Bericht möglich, eigene Befehle an die zugrunde liegende Datenbank zu übergeben. Voraussetzung war allerdings, dass die PHP-Option magic_quotes_gpc deaktiviert ist.
Außerdem schlossen die Entwickler eine sogenannte CRLF-Injection-Lücke (Carriage Return, Line Feed), mit der ein Angreifer an den Anwender gesendete HTTP-Header manipulieren kann. Schließlich wurde im mitgelieferten Editor MOStlyCE eine Cross-Site-Scripting-Lücke beseitigt. Die Entwickler empfehlen allen Anwendern, so schnell wie möglich das neue Mambo-Paket zu installieren.
Siehe dazu auch:
- Please upgrade your sites to Mambo 4.6.4, Mitteilung der Mambo-Entwickler
(dab)