Angreifer hebeln den Passwortschutz Ihres MySQL Calendar aus

25. Dezember 2008
Arne Schwarze Von Arne Schwarze, IT Sicherheit, News & Trends ...

Durch einen Programmierfehler können sich in MySQL Calendar Benutzer ohne Passwort anmelden.

In der Kalender-Software MySQL Calendar besteht eine Sicherheitslücke, durch die Angreifer den Login vollständig aushebeln können. Der Fehler entsteht durch eine mangelnde Überprüfung des Benutzernamens beim Login. Da nicht alle Sonderzeichen abgefangen werden, kann der Login mittels SQL-Injection einfach umgangen werden.

Der Fehler wurde vom Anbieter bisher leider noch nicht behoben. Abhilfe bringt die Funktion mysql_real_escape_string bei der Zuweisung der Variablen "username" in der Datei "index.php". Durch diese Funktion werden alle Zeichen aus der Eingabe des Benutzers umcodiert, die für SQL-Injection-Angriffe verwendet werden können. Ihr Login kann dadurch nicht mehr umgangen werden.

Gratis: Die besten Viren-Scanner im Test

+ Gratis Eilmeldungen "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner,
  • das zeichnet einen guten Viren-Scanner aus,
  • Gratis Eilmeldungen sobald ein neuer Virus auftaucht.
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Weitere Artikel zum Thema

Gratis: Die besten Viren-Scanner im Test

+ "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner
  • Gratis Virus-Eilmeldungen
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"