Confixx Loch in 3.1.2.

[DjTom-i]

Moin moin,

Heise berichtet über ein Loch in Confixx 3.1.2 und niedriger...

Einige Member der www.webhostlist.de haben einen Quick-Fix gebastelt.

Ohne jegliche Garantie !!! Bei läufts aber noch danach


[OPEN] confixx/html/session.inc.php
---
[FIND}
--

function sessao_start(){
...
}

---
[REPLACE] THIS function with this one
---

function sessao_start(){
        session_name('SID');
        if(isset($_GET['SID']) && $_GET['SID'] != ''){

            if ((!preg_match('/^[a-zA-Z0-9]*$/', $_GET['SID'])) || strlen($_GET['SID']) !== 32)
            {
                unset($_GET['SID']);
                die('Hacking attempt');
            }
            else
            {
                session_id($_GET['SID']);
            }
        }
        session_start();
        if(!session_is_registered('_error'))
        {
                session_register('_error');
                $_SESSION['_error'] = false;
        }
  }

---
[OPEN]
--
/confixx/html/user/allgemein_transfer.php
---
[FIND]
---

## aktuelles datum
if (istleer($jahr)) { $jahrstr = date("Y"); } else { $jahrstr = $jahr; }

---
[REPLACE] with
---

## aktuelles datum
if (istleer($jahr) || !preg_match('/^[0-9]{4}$/', $jahr)) { $jahrstr = date("Y"); } else { $jahrstr = $jahr; }
---

Danke an Marco Laubinger und G.Schuster

Viel Glück ;-)

 

[cipher]

Ist inzwischen auch im Original gefixt:

http://download1.swsoft.com/Confixx/security_hotfix/release_notes.txt

http://www.swsoft.com/de/download/confixx/confixx31

 

[DerFalk]

Wie sieht es denn dann im S4Y Confixx Premium 2003 aus?

 

[fmschrader]

13.04.2006 - 20:30:00 - Sicherheits-Update für Confixx Premium Edition

Sehr geehrte Kunden,

gestern wurde eine kritische Schwachstelle in Confixx Professional gemeldet, über welche beliebiger HTML-Code in Ihr System eingeschleust
werden kann. Betroffen sind alle Confixx Versionen der Serien 3.0.x, 2.x und auch das von uns exklusiv vertriebene Confixx Premium Edition 1.0.x.

Für die Versionen 3.x und 2.x erhalten Sie die Updates von SWsoft direkt unter folgender URL:
ftp://download1.swsoft.com/Confixx/security_hotfix/

Für Fragen zu diesen Versionen steht Ihnen der Hersteller unter http://www.swsoft.com/de/support/confixx/ zur Verfügung, dort findet sich auch ein Forum, welches als erste Anlaufstelle weiterhilft.


Unsere Entwickler haben für unsere Confixx Premium Varianten (1.03 und 1.04) entsprechende Updates vorbereitet. Bitte folgen Sie dieser Anleitung um Ihre Confixx Installation zu aktualisieren:

Bitte stellen Sie unbedingt sicher, dass Sie dies nur auf Systemen ausführen, die mit der Version Confixx Premium Edition 1.0.x installiert wurden.

--------------- als root auf dem Server auszuführen, 3 Zeilen --------------
wget http://mirror.intergenia.de/confixx/patches/confixx-premium-security-20060413.patch.sh
chmod 755 confixx-premium-security-20060413.patch.sh
./confixx-premium-security-20060413.patch.sh
-------------------------------------------------------------------------------------

Sollten hier Fehler auftreten, wird das Skript \"FAILED\" melden und zusätzliche Informationen ausgeben. Sollten Sie ein Problem haben, melden Sie sich bitte mit dieser Fehlermeldung und den Informationen über das Ticketsystem bei unserem technischen Support, damit wir Ihnen schnell helfen können.

Ihr Support Team

 

[fmschrader]

Sieht so aus, als hätte das Update-Script bei meinem VServer
anstandslos funktioniert.

Ciao

Martin

 

[.D0T]

Find ich lustig, S4Y meint:

"Bitte stellen Sie unbedingt sicher, dass Sie dies nur auf Systemen ausführen, die mit der Version Confixx Premium Edition 1.0.x installiert wurden."

Nur leider ist sich mein confixx anscheinend selber nicht sicher was es denn so genau ist. Die version.php sagt Confixx(R) - Version 1.6.4 Pro im Panel ist es nur Confixx 2003 Premium Edition und auch ansonsten scheint das Ding nichtmal nem Administrator mitteilen zu wollen welche Version es den nun genau ist!

Wäre sehr erfreut wenn mich irgendwer erleuchten könnte wo ich das nachschauen kann^^

MFG
.D0T

 

[Guin]

In der Confixx Premium 2003 Version (1.6.x) muss nur eine Kleinigkeit geaendert werden.
In die Datei "allgemein_transfer.php" muss am Anfang noch folgender Code eingefuegt werden

## 20060412: $jahr should only be empty or \d{4}
if (!((istleer($jahr)) || ereg('^[0-9]{4}$', $jahr))){
  $jahr = '';
}
## 20060412: $monat should only be empty or between 1 and 12
if (!((istleer($monat)) || ($monat >= 1 && $monat <= 12))){
  $monat = '';
}

So steht es auf der SW HP. Schaden sollte der Code jedenfalls nicht und wenn es doch Komplikationen geben sollte, kann man die paar Zeilen wieder loeschen.

 

[DerFalk]

Hat alles gefunzt *puh*