Adobes Dreamweaver erzeugt Code mit Sicherheitslücken
Dreamweaver erzeugt fehlerhafte Server Behaviors für die Kommunikation mit Datenbanken, sodass sich über manipulierte Eingaben die Datenbank manipulieren lässt.
Der Hersteller Adobe rät Windows- und Mac-Anwendern von Dreamweaver 8 auf die aktualisierte Version 8.0.2 zu wechseln, in der eine Sicherheitslücke geschlossen ist. Laut Fehlerbericht erzeug Dreamweaver 8 fehlerhafte Server Behaviors für die Kommunikation mit Datenbanken unter ColdFusion, PHP MySQL, ASP, ASP.NET und JSP, sodass über bestimmte Eingabefelder SQL-Injection möglich ist. Ein Angreifer könnte damit eigene Befehle an die Datenbank übergeben und so Inhalte auslesen oder manipulieren.
Anwender von Dreamweaver 8 sollten nach Angaben von Adobe auf Version 8.0.2. wechseln. Der Fehler steckt auch in Dreamweaver MX 2004. Hier gibt der Hersteller aber kein Update heraus, sondern verweist auf die manuelle Anpassung des vom Programm erzeugten Codes. Adobe hat dazu eine Anleitung veröffentlicht.
Siehe dazu auch: (dab)
- Dreamweaver Server Behavior SQL Injection vulnerability, Fehlerbericht von Adobe