Das Content-Management-System PHPKIT enthält viele schwer wiegende Schwachstellen, die Angreifer zum Einbrechen in den Server ausnutzen könnten – sowohl lokal als auch aus dem Internet. In einer Sicherheitsmeldung des Hardened-PHP-Projekts listet der Autor Christopher Kunz diverse Fehler in der PHP-Skript-Sammlung auf.
Die Liste der Verwundbarkeiten ist lang und umfasst alles, was Angreifern Freude macht: von Cross-Site-Scripting und SQL-Injection über Zugriff auf Passwort-Hashes und lokalen Dateien bis hin zur Ausführung von eingeschleustem Code. Die Autoren der Open-Source-Software wurden vom Hardened-PHP-Projekt nach eigenen Angaben mehrmals über die Lücken informiert; allerdings reagierten sie selbst nach einem Anruf nicht darauf.
Daraufhin hat das Hardened-PHP-Projekt die Schwachstellen nun veröffentlicht, ohne dass Patches dagegen zur Verfügung stehen. In der Sicherheitsmeldung empfehlen die Sicherheitsexperten, PHPKIT nicht länger einzusetzen, da der Hersteller-Support einfach nicht stattfinde. Die letzte offizielle Version der Software datiert auf den 13.09.2004.
Siehe dazu auch:
* Security Advisory vom Hardened-PHP-Projekt
Quelle und Links :
http://www.heise.de/security/news/meldung/65928
