CONTENIDO Forum

Das Diskussionsforum zum Open Source Content Management System
https://forum.contenido.org/

Contenido gehackt - Update schlägt fehl - Was nun?

https://forum.contenido.org/viewtopic.php?f=108&t=10753

Seite 1 von 3

Contenido gehackt - Update schlägt fehl - Was nun?

Verfasst: Di 13. Dez 2005, 14:34
von notaus
(hoffentlich ist das hier richtig?)

Hallo liebes Forum,

letzte Woche wurde meine Contenido-Installation gehackt und Dateien auf dem Server gelöscht (Version 4.4.4). Nach Aussagen des Providers kam der Angreifer genau über das Sicherheitsloch rein, das mit der aktuellen 4.6.4 Version behoben wurde.

Leider schlägt das automatische Update von 4.4.4 auf die aktuelle 4.6.4 fehl, da es ein recht komplexes Projekt ist, kann ich das nicht voll auf 4.6 umstricken.

Kann mir evtl. jemand sagen, ob ich das (nirgends näher beschriebene) Sicherheitsloch auch manuell durch Umschreiben von wenigen Zeilen Code in der 4.4.4 Version stopfen kann?

Tausend Dank im Voraus & Gruß,
Christian

Verfasst: Di 13. Dez 2005, 14:35
von Dodger77
http://www.contenido.org/forum/viewtopic.php?t=10737

Verfasst: Di 13. Dez 2005, 14:40
von notaus
Danke für den Link! Ich muss blind gewesen sein...

Gruß
Christian

Verfasst: Di 13. Dez 2005, 15:02
von notaus
Hallo,

zu früh gefreut, leider funktioniert das einfache Ersetzen nicht, im Backend geht dann gar nichts mehr.

Mein Provider meinte, das läge wohl an dieser Zeile. Lob an 1und1!
Es handelt sich um das Script `/contenido/classes/class.inuse.php', welches über den Parameter `cfg[path][contenido]' die Ausführung beliebigen Codes erlaubt. Dies ist eine inzwischen bekannte Sicherheitlücke im verwendeten CMS.
Ich hab mal genauer reingeschaut. Genügt es, wenn ich

Code: Alles auswählen

require_once($cfg["path"]["contenido"] . $cfg["path"]["classes"]. "class.genericdb.php");
mit

Code: Alles auswählen

cInclude("classes", "class.genericdb.php");
aus der 4.6.4 ersetze (Zeile 18) ?

erledigt

Verfasst: Di 13. Dez 2005, 15:37
von notaus
man sollte lesen können und 4.6.4 von 4.4.6 unterscheiden können. Ich Depp hab die class.inuse.php aus dem 4.6.4 Release drübergebügelt, und nicht die der 4.4.6.

shame :oops:

Sicherheitsloch im Contenido

Verfasst: Mi 14. Dez 2005, 10:54
von dyndot
Hallo, alle miteinander, es grüßt ein newbie :-)

Da mir das gleiche passiert ist in den letzten Tagen, habe ich mich zwangsläufig mit dem Thema beschäftigt und festgestellt, dass das gleiche Problem auch in der class.htmelements.php besteht.

Dieses Loch ist das gleiche wie in der class.inuse.php und auch auf die selbe Weise zu fixen.

Happy coding...

Gruß Mike

Verfasst: Mi 14. Dez 2005, 11:30
von HerrB
Jedoch nur in der V4.4.x! In V4.6.x ist das schon korrigiert.

Gruß
HerrB

Verfasst: Mi 14. Dez 2005, 11:47
von dyndot
Hallo HerrB,
HerrB hat geschrieben:Jedoch nur in der V4.4.x! In V4.6.x ist das schon korrigiert.

Gruß
HerrB

Da hast du natürlich vollkommen Recht. War ein Fehler meinerseits nicht auf die betroffene Version(en) hinzuweisen.

Gruß Mike

Re: Sicherheitsloch im Contenido

Verfasst: Mi 14. Dez 2005, 16:46
von Halchteranerin
dyndot hat geschrieben:Dieses Loch ist das gleiche wie in der class.inuse.php und auch auf die selbe Weise zu fixen.
Kannst du das bitte genauer beschreiben? :) Ich habe einfach die Datei gegen die neue ausgetauscht (bei 4.4.5), deswegen weiss ich nicht, was daran nun geaendert wurde.

Re: Sicherheitsloch im Contenido

Verfasst: Mi 14. Dez 2005, 17:58
von dyndot
Halchteranerin hat geschrieben:
dyndot hat geschrieben:Dieses Loch ist das gleiche wie in der class.inuse.php und auch auf die selbe Weise zu fixen.
Kannst du das bitte genauer beschreiben? :) Ich habe einfach die Datei gegen die neue ausgetauscht (bei 4.4.5), deswegen weiss ich nicht, was daran nun geaendert wurde.
Hallo Hachteranerin,

schon viel von dir gelesen :-)

Also, soweit ich das gesehen habe und beurteilen kann, da meine PHP Kenntnisse auch nicht so der Wahnsinn sind, hat Timo folgenden Code an den Anfang der class.inuse.php eingesetzt und zwar vor die require_once Anweisung:

Code: Alles auswählen

if ($_GET["cfg"] || $_POST["cfg"])
{
	die();
}
das gleiche habe ich bei der class.htmlelements.php getan und das ganze mit dem exploid getestet. Das Teil kam nicht mehr durch, im gegensatz zu vorher. Ich denke, das ist schlicht übersehen worden.
Da mir das ganze gestern passiert ist, bei ner Seite die ich betreue und ich bisher keine Ahnung von solchen Dingen hatte, habe ich mir das ganze ein wenig näher angesehen und dabei ist mir die Datei aufgefallen.

btw. stelle grade fest, das ich hier eigentlich im falschen Bereich gelandet bin, da es ja ehe die Versionen 4.2.x - 4.5.x betrifft, soweit ich das überblicken kann.

Verfasst: Mo 19. Dez 2005, 13:12
von jost
Also die Änderung von dyndot vorzunehmen hilft jetzt erst einmal? Oh!!

Verfasst: Mo 19. Dez 2005, 13:52
von HerrB
@Halchteranerin: Jetzt sag' doch mal nein...

@Hacker: Hier, hier, hier...: halchter.com :roll:

Gruß
HerrB

Verfasst: Mo 19. Dez 2005, 15:46
von jost
Herr B: Das ist nun aber auch nicht geschickter. Ich wollte nur fragen, ob Frau H. die Änderung probiert hat.

Verfasst: Mo 19. Dez 2005, 16:53
von Halchteranerin
HerrB hat geschrieben:@Halchteranerin: Jetzt sag' doch mal nein...
ok: NEIN. :lol:
@jost: ich bin doch kein Versuchskaninchen. :P

Verfasst: Mo 19. Dez 2005, 17:47
von HerrB
War ein Scherz, war eine zu schöne Vorlage, um sie ungenutzt liegen zu lassen... :wink:

Gruß
HerrB
Alle Zeiten sind UTC+01:00
Seite 1 von 3
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/