chCounter mit Sicherheitslücke

Hinweis: Dieser Artikel ist älter als zwei Jahre (letzte Änderung: 25. September 2014) und evtl. nicht mehr aktuell.

im-Tal.net benutzt seit Anfang an den chCounter als Statistiktool. Im April 09 erfuhren wir auf stadt-bremerhaven.de, dass im chCounter wohl eine Sicherheitslücke entdeckt wurde. Demnach soll es möglich sein sich auf der Login-Seite des chCounters mit “or ‘=’” (ohne die Anführungszeichen) als Benutzernamen und Passwort anzumelden. Auf im-Tal.net war dies so nicht möglich.

Trotzdem wollen wir auch auf die Lösung des Problems hinweisen. In der functions.inc.php im includes-Ordner vom chCounter muss nach folgendem Code gesucht werden:

function chC_login( $name, $pw, $cookie = 0, $admin_required = FALSE )
{

Dieser Code muss um eine Zeile ergänzt werden:

function chC_login( $name, $pw, $cookie = 0, $admin_required = FALSE )
{
$name=mysql_real_escape_string($name);

Also einfach die Zeile $name=mysql_real_escape_string($name); hinzufügen.

Empfehle uns: email facebook google plus twitter

Artikel Informationen

  • Erstellt am Sonntag, 26. April 2009 um 08:20 (Letzte Änderungen 25. September 2014, 20:32) und abgelegt unter WordPress mit den Tags: ,
  • Kommentare zu diesen Eintrag im Kommentar Feed Feed.
  • Du kannst einen Kommentar hinterlassen. Pingback ist im Augenblick nicht erlaubt.

2
Hinterlasse einen Kommentar

1 Comment threads
1 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
2 Comment authors
  Abonnieren  
neuste älteste beste Bewertung
Benachrichtige mich zu:

Ich benutze auch chc. Bei mir ist das nicht möglich, auch ohne den Eintrag in der functions.
Ist das schon einmal bekannt geworden, denn auf der chc Counter eigenen seite ist auch noch nichts vermeldet worden.
Gruß aus dem Norden von
Thomas

maxe

Wir wissen darüber leider auch nicht mehr. Wie oben schon geschrieben, auf im-Tal.net war dies auch nicht so möglich.