Dringende Sicherheitslücke in Froxlor
Hallo,
in der aktuellen, und vieleicht auch älteren, Version von Froxlor gibt es eine dringende Sicherheitslücke.
Wenn man an die URL des Froxlors noch "/logs/sql-error.log" anhängt sieht man das SQL-Log mit dem Froxlor-Datenbank-Kennwort.
Dazu muss man nicht angemeldet sein.
Ich habe auf meinen Servern die Berechtigung des Ordners geändert, so dass Apache das nicht mehr lesen kann.
Viele Grüße
Stefan
https://forum.froxlor.org/index.php/topic/13054-important-bugfix-release ...
in der aktuellen, und vieleicht auch älteren, Version von Froxlor gibt es eine dringende Sicherheitslücke.
Wenn man an die URL des Froxlors noch "/logs/sql-error.log" anhängt sieht man das SQL-Log mit dem Froxlor-Datenbank-Kennwort.
Dazu muss man nicht angemeldet sein.
Ich habe auf meinen Servern die Berechtigung des Ordners geändert, so dass Apache das nicht mehr lesen kann.
Viele Grüße
Stefan
https://forum.froxlor.org/index.php/topic/13054-important-bugfix-release ...
Please also mark the comments that contributed to the solution of the article
Content-Key: 278719
Url: https://administrator.de/contentid/278719
Printed on: May 9, 2024 at 00:05 o'clock