Lieber Webmaster!

In unserem Photoalbum "PictureDis" wurde eine schwerwiegende Sicherheitslücke entdeckt, durch die ein Angreifer das komplette System übernehmen kann.

Guter Schutz: Fügen Sie bitte in alle mitgelieferten PHP-Dateien, welche das Wort include beinhalten, folgenden Code im oberen Scriptbereich ein:
if (stristr($language,"/") or stristr($lang,"/")) {echo "Hack detected"; mysql_close(); die;}

Die beste Stelle wäre direkt nach folgendem Block (wenn teilweise oder ganz vorhanden):
while (list($key, $val) = @each($HTTP_GET_VARS)) {$GLOBALS[$key] = $val;}
while (list($key, $val) = @each($HTTP_POST_VARS)) {$GLOBALS[$key] = $val;}
while (list($key, $val) = @each($HTTP_POST_FILES)) {$GLOBALS[$key] = $val;}

Bester Schutz: Sicherheitsupdate: http://www.bombel.net/directory/PHP-Scripte/PictureDis/pd_pro134_237.zip (PictureDis Professional) (Updated 17.06.2006)

Unterschied zu Build 236: Es dürfen keine Punkte mehr mit lang oder language übergeben werden,
maximale Länge des Parameters: 8 Zeichen.
Dadurch kann keine IP-Adresse, kein externer Host und kein virtuelles Verzeichnis mehr übergeben werden.
Diese Maßnahmen wurden auch in PictureDis 4.83 eingebunden:

Update für PictureDis 4.x: http://www.bombel.net/directory/PHP-Scripte/PictureDis/picdis483.zip (Updated 17.06.2006)

Server bereinigen:

Löschen Sie unbedingt alle Dateien, die nicht zum Inhalt Ihrer Website gehören.

Suchen Sie nach Dateien, welche eine oder mehrere der folgenden Textzeilen / Teile beinhalten:

$host_allow=array("*");
ftype fnot c2 confirm text
$cmd = 

Bitte entschuldigen Sie die Unannehmlickeiten.

Mit freundlichen Grüßen

Uwe Bombel