Zurück   klamm-Forum > klamm-Lose > Lose4Scripts > Lose4Scripts (erledigt)

 
 
LinkBack Themen-Optionen Ansicht
Alt 03.02.2008, 21:02:04   #1 (permalink)
abgemeldet

Reg: 02.05.2006
Beiträge: 9.117
Ausrufezeichen VMS2 Sicherheitslücke

Moin,
heute bin ich beim einfachen durchschauen auf eine schwere Sicherheitslücke im VMS2 gestoßen mit der es mir möglich ist sämtliche Dateien im Adminbereich aufzurufen. Das bedeutet auch das ich:

- sämtliche Userdaten auslesen kann
- EF Passwort sehen kann
- Lose gutschreiben kann
- User bearbeiten (Adminstatus geben)

naja einfach alles was man im Adminbereich machen und sehen kann, kann ich auch. Wie man den Bug ausnutzt werde ich nicht sagen, ich sag nur soviel das es unter allen VMS2 Seiten mit bisschen Aufwand möglich ist. Es ist nur eine Frage der Zeit bis man es hat .

Naja aber nicht allzuviel dazu, ich habe es mal auf einigen Seiten ausprobiert. Manche Admins haben es mir ganz leicht gemacht in dem einfach vergessen wurde eine bestimmte Einstellung zu machen, dadurch ist es sogar möglich ohne das PW was man noch rausfinden muss alles zu ändern.

Jetzt könnte ja jemand sagen wenn man erst noch ein PW braucht ist es ja nicht so schlimm aber ihr werdet lachen auf den Seiten wo ich getestet habe stand das PW im Impressum oder auf der Klamm-Nickpage (Vorname, Nachname, Email, Nickname, Geburtsdatum etc.)!

Ich werde nicht sagen wie es geht das einzige was ich machen werde ist einen Bugfix verschicken dazu einfach hier im Thread posten.

Mal 2 Screens welche zeigen was so alles geht :




Und nun zu guter letzt noch eine Bitte:
Macht eure Passwörter sicher! Hiermit meine ich nicht nur die Passwörter von eurem Account sondern auch z.B. das Passwort
für Cronjobs etc.

Wer hier im Thread postet bekommt von mir eine Anleitung zum entfernen dieses Bugs per PM. Anfragen per PM, ICQ, Email etc werden nicht beantwortet.

Ich werde es nicht demonstrieren also Anfragen wie: Schick mir mal mein EF Passwort werden nicht beantwortet, weil das "reinkommen" manchmal lange dauert aber es gibt Leute die haben die Möglichkeit euer PW zu speichern und wenn die es ausnutzen dann wars das

Und damit es hier in Lose4Scripts rein darf verlange ich 100 Lose pro Info einfach mit dem Betreff "VMS2 Bug" an 184974 schicken. Spenden sind gerne gesehen

Gruß
Gremlin
 
27o8 ist offline  
Alt 03.02.2008, 21:18:32   #2 (permalink)
IMG-Load.de
Benutzerbild von gfxclub

ID: 103343
Lose-Remote

gfxclub eine Nachricht über ICQ schicken
Reg: 30.04.2006
Beiträge: 723
Standard

Hi Gremlin schicke mir doch mal bitte ne PN mit Info.
GFXclub
gfxclub ist offline  
Alt 03.02.2008, 21:20:10   #3 (permalink)
Losewiese.de *****

ID: 160067
Lose-Remote

Reg: 18.12.2006
Beiträge: 160
Standard

mir bitte auch!
thx
cu, KeePon
--------------------------
Admin von Losewiese.de
KeePon ist offline  
Alt 03.02.2008, 21:20:12   #4 (permalink)
Erfahrener Benutzer

ID: 89045
Lose-Remote

Reg: 13.05.2006
Beiträge: 1.144
Standard

ja SIREL hier bist Du richtig.

Darfst auch danke sagen...
Fotos Studien Ersti-Tag HIER KLICKEN Gruppe 19
funman ist offline  
Alt 03.02.2008, 21:21:18   #5 (permalink)
Erfahrener Benutzer

ID: 191398
Lose-Remote

SIRELWOOD eine Nachricht über ICQ schicken
Reg: 13.11.2006
Beiträge: 288
Daumen hoch *fein*

Hi,
das interessiert mich mal...
lose per remote da...
Grüße...
SIRELWOOD
(LOSESEGEN)
http://www.Lose-Segen.de
SIRELWOOD ist offline  
Alt 03.02.2008, 21:23:30   #6 (permalink)
Kingpui.de

ID: 260017
Lose-Remote

Reg: 12.10.2006
Beiträge: 1.983
Standard

Hallo

Ich habe auch Interesse daran.
Suche Projekt zum mitwirken. Interesse PN! | Erfahrungen erstrecken sich über Madmoo Entertainment (2008 Browsergame des Jahres) bis hinüber zur eigenen Firma - Gerne Loseseite ala FWX
muenchner1989 ist offline  
Alt 03.02.2008, 21:23:31   #7 (permalink)
Werbe-Sponsor.de

ID: 235700
Lose-Remote

Muecke eine Nachricht über ICQ schicken
Reg: 25.05.2006
Beiträge: 1.527
Standard

meld dich ma bitte ICQ grem :p

kannste mir denn dort ma geben und ich schicke den Bugfix an alle Lizenznehmer von denen ich gültige MailAddys hier habe

LG Muecke : >
Muecke ist offline  
Alt 03.02.2008, 21:27:13   #8 (permalink)
abgemeldet

Reg: 02.05.2006
Beiträge: 9.117
Standard

Bis hierhin raus. Mücke ich schreib dich gleich mal an
 
27o8 ist offline Threadstarter  
Alt 03.02.2008, 21:32:32   #9 (permalink)
Kingpui.de

ID: 260017
Lose-Remote

Reg: 12.10.2006
Beiträge: 1.983
Standard

Hallo

Diesen Bug habe ich bei mir korrekiert .
Und jetzt werde ich bei mir mal die Sünder sperren
Suche Projekt zum mitwirken. Interesse PN! | Erfahrungen erstrecken sich über Madmoo Entertainment (2008 Browsergame des Jahres) bis hinüber zur eigenen Firma - Gerne Loseseite ala FWX
muenchner1989 ist offline  
Alt 03.02.2008, 21:32:53   #10 (permalink)
2480 Tage aktiv
Benutzerbild von walter20

ID: 98032
Lose-Remote

Reg: 21.04.2006
Beiträge: 549
Standard

Ok habe lose geschickt mehr habe ich leider nicht
 
walter20 ist offline  
Alt 03.02.2008, 21:35:26   #11 (permalink)
abgemeldet

Reg: 02.05.2006
Beiträge: 9.117
Standard

Sie haben Post . Mücke wird auch gleich eine Info raussenden
 

Geändert von 27o8 (03.02.2008 um 21:36:02 Uhr)
27o8 ist offline Threadstarter  
Alt 03.02.2008, 21:41:19   #12 (permalink)
Erfahrener Benutzer

ID: 30162
Lose-Remote

Reg: 28.04.2006
Beiträge: 1.428
Standard

*hier*

-> danke & lose kommen sofort
 
cptjohn ist offline  
Alt 03.02.2008, 21:43:50   #13 (permalink)
abgemeldet

Reg: 02.05.2006
Beiträge: 9.117
Standard

Auch du hast
 
27o8 ist offline Threadstarter  
Alt 03.02.2008, 21:45:07   #14 (permalink)
Schlachzeujer

ID: 199125
Lose-Remote

rawmance eine Nachricht über ICQ schicken
Reg: 26.04.2006
Beiträge: 302
Standard

hi

hätte auch gern die info

gruss rawmance
rawmance ist offline  
Alt 03.02.2008, 21:47:17   #15 (permalink)
Bèné
Benutzerbild von sonobene

sonobene eine Nachricht über ICQ schicken sonobene eine Nachricht über Skype™ schicken
Reg: 22.04.2006
Beiträge: 1.819
Standard

Ich auch mal bitte!
sonobene ist offline  
 

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Achtung! Sicherheitslücke im FWX! Frejia Lose-Talk 134 20.01.2008 11:50:23
Sicherheitslücke im VMS domob Lose-Talk 46 13.01.2008 18:46:18


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:19:18 Uhr.