News

Testphase für Schießstandterminals beendet! Ab sofort ist das neue Zugangssystem für interessierte Vereine verfügbar. Bei Interesse einfach unverbindliches Beratungsgespräch vereinbaren. Natürlich kann das Zugangssystem auch bei der PFSG Schwabach in natura begutachtet werden.

Im Rahmen der Erweiterung eines Formulars in der Webanwendung einer unserer Kunden prüften wir vergangene Woche das in der Anwendung zum Einsatz kommende, populäre PHP-Framework Symfony 1.4 auf etwaige Schwachstellen. Dabei entdeckten wir eine kritische Sicherheitslücke, die es ermöglicht, durch eine manipulierte HTTP-Anfrage sämtliche Dateien des zugehörigen Webservers auszulesen, auf die Symfony selbst Zugriff hat. Ein potenzieller Angreifer könnte somit die Datenbankkonfiguration auslesen und sich vollen Lese- und Schreibzugriff auf die Anwendungsdatenbank verschaffen. Voraussetzung ist jedoch, dass die Webanwendung ein Formular mit einem Dateiupload-Feld enthält. Betroffen sind alle Versionen des Symfony-Frameworks bis Version 1.4.20.

Herr Hecht hat umgehend die Entwickler des Frameworks, Sensio Labs, in Kenntnis gesetzt, welche zügig mit Gegenmaßnahmen reagierten. Neben einem Sicherheitspatch wurde Version 1.4.20 veröffentlicht, in der die Schwachstelle beseitigt wurde.

Mehr: Security release: symfony 1.4.20 released

Unsere Kunden

Kunde 1 Kunde 2 Kunde 3 Kunde 4 Kunde 5 Kunde 6