Page 1 of 1

Sicherheitslücke im Download Script > Deaktivierbar?

Posted: Mon Jun 18, 2012 2:25 pm
by mr.m
Hallo,

ein gewisses Download Script in WebYep, scheint eine potentielle Angriffsfläche für Hacker zu sein.
(Das Download Script dient dazu, dass Dateinanhänge heruntergeladen werden und sich nicht im Webbrowser öffnen.)
Dies ist auch in einem ähnlichen Eintrag (aus dem Jahr 2008) im englischen Forum zu lesen.
http://forums.obdev.at/viewtopic.php?f=6&t=1317&p=4768

Eine meiner Webseiten mit der WebYep Version 1.6.0 (registerglobals=off), wurde vor wenigen Tagen über diesen Weg "gehackt".
In der Datei wepyep-log.txt im Ordner "Daten" findet sich am Tag des Einbruchs der entsprechende Eintrag: "missuse of download script"

Es ist leider nicht dokumentiert, ob die aktuelle Version 1.7.2 diese Sicherheitslücke besser absichert.
Daher die Frage, ob das Download Script deaktiviert werden kann? (z.B. in den Konfigurationseinstellungen)

Dies wäre wichtig zu wissen, da ich auch in anderen WebYep-Webseiten den Eintrag in der wepyep-log.txt gefunden habe, bei denen ein Einbruch glücklicher Weise noch nicht erfolgreich war.