AW: FAQ Sicherheitslücke bekannt?
 

Also in diesem Fall hat das etwas mit einem dämlichen Entwickler zutun,der seinen Debug-Code vergessen hatte. Meinetwegen hatte es auch was mit schlampiger Qualitätskontrolle zutun. Die Zugangsdaten zur Datenbank hätte man aber in jeder denkbaren Programmiersprache ausgeben lassen - und das nicht nur bei Foren. PHP hat seine Schwächen, Stärken und was auch immer - nur diesmal hat der Fehler nichts mit der Tatsache zutun, dass es sich um eine in PHP entwickelte Software handelt.

Ich habe hier noch Version 3.8.5 im Einsatz, weil die im Update korrigierten Fehler für uns nicht relevant sind. Bei Gelegenheit werde ich das Update ausführen, aber es besteht hier kein Leidensdruck. Davon mal abgesehen wären wir wohl so oder so kein echtes "Opfer" geworden, da der MySQL-Server von außen nicht zugänglich ist.

AW: FAQ Sicherheitslücke bekannt?
 

Schön wäre die Offenlegung der Zugangsdaten aber auch nicht gewesen.

AW: FAQ Sicherheitslücke bekannt?
 

Das nicht, aber ich geb Daniel mal nen :thumb:. Diejenigen, die ihren DB-Server so konfigurieren, dass eine Software mit allgemein gueltigen Zugangsdaten drauf zugreifen kann, sind selber Schuld wenn so eine Luecke bei ihnen zu Datenlecks fuehrt. <user>@'%' ist das Zweitschlimmste das man bei MySQL machen kann. Schlimmer ist nur 'root'@'%'

Greetz
alcaeus

PS: und nein, mit PHP hat das wirklich nichts zu tun.

AW: FAQ Sicherheitslücke bekannt?
 

Wobei man den Zugriff bei MySQL eigentlich zuerst mal erlauben muss. So kann man es nicht darauf schieben, vergessen zu haben, es sicher zu machen :mrgreen:

AW: FAQ Sicherheitslücke bekannt?
 

Es sei denn du nutzt das selbe Passwort für den MySQL-Server, wie für deinen Admin-Account hier. :zwinker:

AW: FAQ Sicherheitslücke bekannt?
 

Also das nenn ich mal eine kritische Sicherheitslücke :shock: Gut, dass die DP nicht betroffen ist. Ich frage mich trotzdem, ob diese Lücke schon irgendwo ausgenutzt wurde.

AW: FAQ Sicherheitslücke bekannt?
 

Bestimmt die bösen Jungs sind leider schnell
*an mein ehemaligs armes überaltertes und gehacktes Forum denk*

Es dauert ja eine Weile, bis alle Betroffenen de Fehler behoben haben.
Ich hoffe mal Heise hat die Forenbetreiber auch angeschrieben, bei welchen sie diese Lücke entdecken konnten.

AW: FAQ Sicherheitslücke bekannt?
 

Naja, man brauchte nur ne Google-Suche starten, und *bumms* landete man auf zahlreichen vBulletins, die alle genau den Fehler hatten.