Auf PHPNuke beruhende Content-Management-Systeme enthalten unter Umständen eine Sicherheitslücke, wenn sie das Datenbanklayer-Skript (sql_layer.php) des CMS vkpMx/pragmaMx einsetzen. Ein Angreifer kann durch Angabe zweier Parameter zur Anzeige von SQL-Fehlermeldungen die gesamte Datenbank ausspähen. Laut der Entwickler von pragmaMX lässt sich die Lücke ganz einfach durch die Definition der globalen Variable $mxSqlErrorDebug=0 und $mxSqlDebug=0 im genannten Skript schließen. Bei pragmaMX sei dies der Fall, nicht jedoch etwa beim Nuke-Ableger CPortal und dessen kostenloses Derivat CP-Light.
Die CP-Entwickler haben bereits einen eigenen Hinweis zu dem Problem auf ihren Seiten und dem Support-Forum auf PHPNuke-Community.de veröffentlicht. Laut Regine Diepold vom CPortal-Team hat man ohnehin bereits vor wenigen Tagen das fragliche Skript durch ein eigenes ersetzt. Allerdings war man sich der Dringlichkeit nicht bewusst, da man von den Pragma-Entwicklern nicht über die Lücke informiert wurde. Ein Grund dafür sei wohl der zwischen den verschiedenen Teams entbrannte Streit um die Nutzung des Datenbanklayers.
Welche CMS noch betroffen sind, ist nicht bekannt. Anwender sollten sich im Zweifelsfall an den Support ihres Produktes wenden.
Quelle und Links :
http://www.heise.de/security/news/meldung/60180
