PHProjekt mit Sicherheitslücke

9. Dezember 2004, 10:23
1 Posting

Open-Source Groupware-Suite beinhaltet einen kritischen Fehler

In der beliebten Open-Source Groupware-Suite PHProjekt findet sich eine Sicherheitslücke; dies melden die Entwickler in einem Security Advisory.

Fehler in der Setup-Routine

Ein Fehler in der Setup-Routine ermöglicht es, dass die Konfiguration der Installation nachträglich ohne Admin-Rechte verändert werden kann. Nach ersten angaben soll es möglich sein, über einen standardmäßig angelegten Test-Account beliebige PHP-Skripte hochzuladen und starten zu können. Über die Lücke lässt sich zudem auch ohne Testkonto das Datenbank-Passwort ermitteln. Laut Angaben der Entwickler findet sich der Fehler in allen Versionen von PHProjekt. Eine neue Setup-Datei - setup.php - wurde zum Download bereitgestellt und soll die Sicherheitslücke bereinigen.(red)

Share if you care.