Anmelden
Ich möchte für die nächsten 30 Tagen angemeldet bleiben
Deutsch
Several pages in the usergroup are available in English. Click on english to visit these pages.

DotNetNuke News

27.05.2016 | Ankündigungen, DNN Releases
Sicherheitsloch in DNN 7 und DNN 8 (Sebastian Leupold)
Heute Nacht hat DNN Corp. eine Warnung herausgegeben, dass DNN 7 und 8 angreifbar sind. Es wurde DNN Version 8.0.3 veröffentlicht, in der das Lock gestopft wird. Jeder DNN-Betreiber sollte prüfen, ob er bereits angegriffen wurde. Eindeutiges Zeichen ist ein neues Systemverwalterkonto in System > Systemverwalter.

Um die Angriffe zu verhindern, sollte man umgehend die Dateien Install.aspx,Install.aspx.cs, InstallWizard.aspx, InstallWizard.aspx.cs, UpgradeWizard.aspx und UpgradeWizard.aspx.cs löschen oder durch anhängen von .resources umbenennen. In den Systemeinstellungen außerdem sicherstellen, dass in den zugelassenen Dateieerweiterungen .asp, .php und .aspx NICHT auftauchen.

Wer angegriffen wurde, sollte das Konto deaktivieren, sich die BenutzerID merken und in der Datenbank untersuchen, welche Änderungen der Benutzer vorgenommen hat. Weiterhin wurden durch das Vorgehen die Systemeinstellungen zurückgesetzt und müssen neu eingestellt werden.
Man sollte zusätzlich den Website-Ordner im Dateisystem auf .asp, .php und unbekannte, neu angelegte .aspx-Dateien untersuchen.
Zu diesem Beitrag liegen noch keine Kommentare vor.