chCounter mit Sicherheitslücke

im-Tal.net benutzt seit Anfang an den chCounter als Statistiktool. Im April 09 erfuhren wir auf stadt-bremerhaven.de, dass im chCounter wohl eine Sicherheitslücke entdeckt wurde. Demnach soll es möglich sein sich auf der Login-Seite des chCounters mit “or ‘=’” (ohne die Anführungszeichen) als Benutzernamen und Passwort anzumelden. Auf im-Tal.net war dies so nicht möglich.

Trotzdem wollen wir auch auf die Lösung des Problems hinweisen. In der functions.inc.php im includes-Ordner vom chCounter muss nach folgendem Code gesucht werden:

function chC_login( $name, $pw, $cookie = 0, $admin_required = FALSE )
{

Dieser Code muss um eine Zeile ergänzt werden:

function chC_login( $name, $pw, $cookie = 0, $admin_required = FALSE )
{
$name=mysql_real_escape_string($name);

Also einfach die Zeile $name=mysql_real_escape_string($name); hinzufügen.