Sicherheits-Update für DokuWiki

Durch eine Schwachstelle bei der Prüfung eines Parameters können Angreifer eigene Dateien inkludieren und als PHP-Skrtip ausführen lassen.

1

27.05.2009, 12:15 Uhr

Lesezeit: 1 Min.

Security

Von

Daniel Bachfeld

Das Update 2009-02-14b des Wiki-Systems DokuWiki beseitigt eine Sicherheitslücke, durch die Angreifer ein verwundbares System kompromittieren können. Schuld ist die unzureichende Überprüfung des config_cascade-Parameters in inc/init.php, durch die sich Dateien inkludieren und als PHP-Skript ausführen lassen.

Der dazu veröffentlichte Exploit zeigt zwar nur, wie sich lokale Dateien einbinden lassen, möglicherweise kann man aber auch auf externe Seiten verweisen. Für einen erfolgreichen Angriff muss allerdings die PHP-Option register_globals aktiviert sein. (dab)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Sicherheits-Update für DokuWiki

Spiele

Für alle unter 30: heise+ mit 50 % RabattFür alle unter 30: heise+ mit 50 % Rabatt

Das digitale Abo für IT und Technik.