Sicherheitslücken in easyLink 2.6

Einer meiner Kunden rief mich besorgt an und teilte mir mit, dass es Sicherheitslücken in einem seiner Link-Kataloge gebe. Nach dem Gespräch schickte er mir noch ein Video zu, das das Ausmaß der Lücken demonstrieren sollte: es zeigte einen leicht bedienbaren Exploit, der anscheinend nach Eingabe einer URL private Daten wie E-Mail-Adressen und Kontonummern aus einem Web-Katalog auslas.

Das stank natürlich nach XSS, SQLi und mehr, und nach einiger Recherche im Code fand ich auch einige Sicherheitslücken, die das Ausspähen dieser Daten ermöglichten. Natürlich habe ich umgehend Fehlerkorrekturen erstellt und bei allen meinen betroffenen Kunden installiert!

Zitat meines Kunden: “Vielen Dank für die super schnelle Fehlerbehebung! Ich bin froh, dass Sie den Support für mein Portal leisten!”.

Danke, das hört man gerne :-)

[Nachtrag 28.07.09: Mittlerweile stellt der Hersteller für die neueste Version ein Update zur Verfügung, das auf meinen Änderungen beruht. Benutzern älterer Versionen wird empfohlen, die Änderungen manuell anhand meiner Anleitung durchzuführen.]

Leave a Reply