Koobi again
Mittlerweile weiß ich nicht, ob es an der fehlenden Support-Strategie von dream4, an den illegalen Lizenzen, oder an der Faulheit der Webmaster liegt…
Ein Bekannter hat seine eigene Seite mit Koobi betrieben.
Hat.
Nachdem so ein dummes türkisches Script-Kiddie gemeint hat, seinen Namen auf der Seite zu verewigen…
Naja, jedenfalls war es schnell raus, woran es lag, Problem gefixt.
Gefunden wurde seine Seite über Google mit einem passenden Google-Dork, lustigerweise aber noch so an die 100 Seiten mehr.
Ich war wieder mal so frei, und hab‘ einen „Gruppen-Newsletter“ an alle CMS-Betreiber geschickt.
Inhalt:
Betreff: Sicherheitslücke auf www.domain.tld
Hallo Webmaster,
Du solltest DRINGEND mal Deine Koobi-Installation unter www.domain.tld
aktualisieren, denn aktuell kann jeder a) die Email-Adressen und
b) die zugehörigen Paßwörter (md5-Hash) lesen.
PoC: http://www.domain.tld/index.php?*HIER DER SQL-QUERY*
Ebenso würde ich Dich bitten:
a) alle Deine User darauf aufmerksam zu machen (Newsletter) und sie zu bitten, deren Pwds zu ändern, und
b) das auf Deiner Startseite bekannt zu geben, damit ich sehen kann, daß ich den Usern nicht selbst eine Email senden muß… 😉
Grüße
Lonesome Walker
Ich denke, das ist freundlich, aber bestimmt…
am 13.05.2008 um 17:42
Und ? Gab es eine Reaktion ?
am 14.05.2008 um 17:50
Jaein ^^
Ein einziger Seitenbetreiber hat sich gemeldet.
Hatte Probleme mit Update/Upgrade, daher zu faul 😀