Fehlalarm, Sicherheitslücke Dolphin 6.1.2

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Fehlalarm, Sicherheitslücke Dolphin 6.1.2

      Hallo zusammen,

      nach viel hin und her gibt es eigentlich die Lösung.

      Einige Dolphin Webseiten wurden gehackt und und es wurde festgestellt das die betroffenen Webseiten "php_flag register_globals On" hatten.

      Daher liegt der Fehler nicht an Dolphin sondern an den Servereinstellungen.
      Dolphin wurde dann als Mittel zum Zweck genommen, wobei dies auch andere Scripte/CMS etc. hätten sein können.

      Wer die Diskussion nochmal nachlesen möchte:
      Sicherheitslücke bei Dolphin 6.1.2 ?!


      Offizielle Zitate von boonex.com

      Ohh again smile

      why you even can`t goto

      Members -> Boonex Team

      Here all Boonex staff, thanks for alls

      so again,

      you should have

      php_flag register_globals Off
      to prevent been hacked

      all hosts must provide this variable as 'Off' by default.

      If not - this is not secure host

      If your hosting don`t give possibility to use .htaccess ask your host to enable this possibility and even switch

      php_flag register_globals Off
      this is common security issue, strange that your host don`t provide this, which version of php it use? 3.0? smile

      since 4.2 this variable is Off as default

      Regards,

      BoonEx staff


      Humorous hackers smile
      Has anybody read this before?
      php.net/register_globals manual

      It's not exploit, it's just a lack of php < version 4.2
      Previous PHP couldn't accept any GET/POST variables, and developers of PHP invented something new, hah

      So......,

      >When on, register_globals will inject your scripts with all sorts of variables

      and was possible to override variables and functions,

      this is not lack of our Dolphin,

      Since the first Dolphin version we provide manual on how to switch off this php option, just check your:

      .htaccess

      there is a line:

      php_flag register_globals Off

      More, developers of PHP disable this option in distib since 4.2 (seems)

      So we don`t see here any issue for this

      Check the PHP history and I'm sure, you'll find a lot of useful information about it.

      This was a common PHP language problem, its earliest problems.


      Wir wünschen weiterhin viel Erfolg mit euren Dolphin Projekten!

    • Fehlalarm

      So nun ist es ja Offiziel Dolphin ist sicher !!

      Alles was jetzt von Boonex gemacht wird, ist das künftig auch Dolphin mit Register_Globals ON sicher ist.
      Weiterhin soll nach auskunft von Boonex und deren Verantwortlichen im Script ubdate dafür gesorgt werden, das künftig gewisse einstellungen auf Webspace Ignoriert werden können und somit ein Angriff auf die Webspaces Erschwert wird.

      Garantieren kann das keiner, zumindest nicht bei Webspace.

      Hier heist es wieder zu überlegen ob ich mir nicht doch ein VPS oder Rootserver zulege.

      Weiterhin sollte ich überlegen ob mir 2 Euro im Monat mehr, mir meine Sicherheit wert sind.

      Unsere eigen Experimente in den letzten 2 Tagen haben gezeigt das zumindest auf VPS und Roots Dolphin sicher und Stabil läuft.
      Hier haben wir mehrfach versucht mit allen Mitteln Dolphin zu hacken, diese hat Dolphin alle Stndgehalten.

      Auch solltet Ihr immer auf die Firewalleinstellungen achten, sowie aktuelle Patsches für Euer OS Installieren.

      Anleitungen dazu gibt es im PLESK-Forum, die jeweiligen OS-Betriebssystem-Foren usw.

      ________________________________________________________________________________________________
      MEINE MEINUNG :: wer nicht googelt bleibt ewig auf Stand wo er in der Steinzeit war.
      File Download - File Upload
      Kostenlos File-Host bei http://file-click.com

    • und für diejenigen die auf nummer sicher gehen wollen folgenden eintrag noch in der .htaccess hinzufügen!
      ist zwar bei sicheren servern nicht nötig aber dennoch mal der hinweis.

      RewriteCond %{QUERY_STRING} ^http [OR]
      RewriteCond %{QUERY_STRING} ^.+www\. [OR]
      RewriteCond %{QUERY_STRING} ^.+https [OR]
      RewriteCond %{QUERY_STRING} ^ftp
      RewriteRule .* - [L,F]
      RewriteCond %{HTTP_USER_AGENT} ^libwww [OR]
      RewriteCond %{HTTP_USER_AGENT} ^Wget
      RewriteRule .* - [F]


      This will block any "query string" that has http, https, ftp, or www in it. It will also block ANY user agent that starts with "libwww" (which is what 99% of these bad bots use) and "Wget" (which is a site scraper).