Unautorisierte Datenbankzugriffe auf Webservern durch Dreamweaver-Skripte
Von Dreamweaver auf Webservern installierte Testskripte ermöglichen Angreifern den Zugriff auf die Datenbank.
Macromedia hat ein Security Advisory veröffentlicht, in dem der Hersteller auf einen Fehler in Dreamweavers Datenbankskripten für dynamische Webseiten hinweist. Für Testzwecke installiert Dreamweaver eigene Skripte auf Webservern, um über das Netzwerk auf die Datenbank zuzugreifen. Der Treiber auf dem Server lässt sich dabei über HTTP abfragen und konfigurieren. Leider kann ein Angreifer ebenfalls das Skript aufrufen und so genannte Data Source Names (DSNs) abfragen sowie eigene Kommandos an die Datenbank übergeben, wenn diese nicht Passwort-geschützt ist.
Besonders kritisch ist dieses Problem für öffentlich zugängliche Web-Server, auf denen vergessen wurde die Skripte zu löschen. Betroffen sind alle Versionen von Dreamweaver MX 2004, MX und UltraDev 4. Macromedia stuft das Problem als kritisch ein und empfiehlt Anwendern die entsprechenden Skripte sofort von den Servern zu entfernen. Entsprechende Hinweise zur sicheren Konfiguration von entfernten Datenbankzugriffen gibt Macromedia in dem Advisory Security implications of remote database connectivity
Siehe dazu auch: (dab)
- Security Advisory von Macromedia
