[Mapbender-users] Sicherheitslücke?!
Astrid Emde (WhereGroup)
astrid.emde at wheregroup.com
Wed Feb 28 09:53:58 EST 2007
Wigold at aol.com schrieb:
> Hallo,
> ich nutze derzeit Apache 2 und Mapbender 2.4 und mir ist dort ein
> evtuelles Sicherheitsrisiko aufgefallen.
> In den temporären Sessions-Dateien werden Benutzername und Passwort im
> Klartext gespeichert.
> Die Sessionsdateien liegen im htdocs/tmp Verzeichnis, welches für
> jeden über das Internet zugänglich ist. Demnach hätten Unbekannte doch
> sofort alle Zugangsdaten, indem Sie in die Sessionsdateien schauen.
>
> Wie kann man das umgehen?
> - Ist es möglich, das Passwort in der temorären Sessions-Datei als
> md5-Hash zu speichern?
> - Oder reicht es, wenn ich den Zugriff auf das tmp-Verzeichnis blockiere?
> Würde Mapbender dann Probleme bekommen?
Hallo,
eigentlich sollte das session-Verzeichnis nicht von außen zugänglich sein.
Am Sinnvollsten ist es, den session_save_path von PHP zu ändern (siehe
php.ini).
--
Mit freundlichen Grüßen
Astrid Emde
----------------------------------
Astrid Emde
WhereGroup GmbH & Co.KG
Siemensstraße 8
D-53121 Bonn
Fon: +49(0)228 90 90 38 - 19
Fax: +49(0)228 90 90 38 - 11
astrid.emde at wheregroup.com
http://www.wheregroup.com
----------------------------------
Komplementärin:
WhereGroup Verwaltungs GmbH
vertreten durch:
Arnulf Christl, Olaf Knopp, Peter Stamm
Amtsgericht Bonn, HRB 9885
----------------------------------
ACHTUNG: Die Firmen Geo-Consortium, CCGIS und KARTA.GO haben ihre Fusion als WhereGroup zum 1.1.2007 bekannt gegeben.
Daher ändern sich ab Januar 2007 die Email Adressen und Telefonnummern.
More information about the Mapbender_users
mailing list