[pmwiki-users-de] [Fwd: Re: [pmwiki-users] pmwiki exploit]

Ingo Reimund ingo at 5id-lan.de
Wed Sep 6 06:41:18 CDT 2006


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo Norbert,

zum einen ist es sinnvoll die akualisierte Version von PmWiki einzuspielen. Nach
aussagen von Patrick Michaud behebt Version >= 2.1.21 diese Sicherheitslücke.

Ebenfalls sollte die Angehängt eMail hilfreich sein.


Norbert Schulze schrieb:
> Hallo,
>
> laut der Meldung im Heise Ticker: http://www.heise.de/newsticker/meldung/77711
>
> gibt es eine gravierende Sicherheitslücke in PMWiki. Mein Provider kann leider
die Notlösung mit dem deaktieren von register_globals nicht durchführen, da
dadurch einige andere Webauftritte nicht mehr funktionieren. Gibt es eine
weitere Abhilfe? Ansonsten werde ich unsere PMWikiseiten lieber komplett vom
Netz nehmen. :-/
>
> Betroffene Seiten:
> www.lug.wolfsburg.de
> www.mit-linux.de
>
>
> Gruß
> Norbert



- -------- Original-Nachricht --------
Betreff: Re: [pmwiki-users] pmwiki exploit
Datum: Tue, 5 Sep 2006 09:25:59 -0500
Von: Patrick R. Michaud <pmichaud at pobox.com>
An: Robin Sheat <robin at kallisti.net.nz>
CC: pmwiki-users at pmichaud.com
Referenzen: <mailman.1043.1157451921.19843.pmwiki-users at pmichaud.com>
<44FD6AEC.6010206 at knappi.org>	<200609060039.06709.robin at kallisti.net.nz>

On Wed, Sep 06, 2006 at 12:38:59AM +1200, Robin Sheat wrote:
> On Wednesday 06 September 2006 00:17, Nils Knappmeier wrote:
> > I verified it, and it really works.
> Of course, most people should have register_globals=off in their php.ini file, 
> which will prevent this happening at all. If you don't, now is a good time to 
> check if you can happily run with it off. Many PHP application exploits 
> require it to be 'on' to be effective.

If you don't have privileges to adjust the php.ini file directly,
you might try adjusting it in .htaccess:

    php_flag register_globals off

One can use ?action=phpinfo (with $EnableDiag = 1 set) to
determine if register_globals is indeed set to 'off'.

Pm

_______________________________________________
pmwiki-users mailing list
pmwiki-users at pmichaud.com
http://www.pmichaud.com/mailman/listinfo/pmwiki-users
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org

iD8DBQFE/rPeN3UKKsVhN9gRAnbzAJ96Fe8Tqjxuj7R4Nk/ZMI4tBKuIIACfcHfZ
paKYksrJu77659gMXOpZ3Ag=
=BAJ2
-----END PGP SIGNATURE-----



More information about the pmwiki-users-de mailing list