Webgalamb sérülékenység – weboldalak veszélyben

Nemrég látott napvilágot az a biztonsági figyelmeztetés, amely a Webgalamb hírlevél kezelő program többféle komoly sérülékenységére hívja fel a figyelmet. A Webgalambot használó weboldalak és tárhelyek így potenciálisan veszélyben vannak a hibák javításáig.

FONTOS!

Amennyiben ügyfelünk vagy és Webgalambot használsz, mindenképpen javasoljuk, hogy távolítsd el a programot a tárhelyedről a javításig!

A webgalamb hírlevél küldő szoftver felderített hibái a következők:

  • Információ szivárgás: olyan logfájlt generál a szoftver, amelyben érzékeny adatok, például bejelentkezési adatok és jelszavak lehetnek
  • SQL injection: távolról futtatott kóddal kártékony kód, spam reklám elhelyezése az adatbázisban
  • Hitelesítés megkerülése: letölthetővé válik az adatbázis – ez pedig a feliratkozók adatainak szivárgását teszi lehetővé
  • Cross Side Scripting (XSS) az adminisztrátor támadásához
  • HTTP POST kérésekkel lehetővé válik az adminisztrátori jelszó megváltoztatása és így a bejelentkezés az admin felületre
  • Fájlok feltöltésének lehetősége, így malware és spam terjesztése a tárhelyen keresztül
  • Távoli kód futtatása hitelesítés nélkül

A fentebbi listából látszik, hogy a sérülékenységek kihasználásával illetéktelenek gyakorlatilag bármihez hozzáférnek a tárhelyen, beleértve az adatbázist, a teljes tárhelyen folyó levelezést, és ez által például olyan személyes adatokhoz is, amik levélben érkeznek (bankszámla kivonat, vásárlások, belépési adatok stb.)

Jó tudni!

A feltört tárhely nem jelent veszélyt sem a szerverünkre, sem pedig a többi tárhelyre, mert a Tárhelypark szervereinek felhasználói operációs rendszer szinten el vannak szeparálva egymástól, így egy-egy felhasználó nem is látja a többi usert. Ennek ellenére nem engedjük, hogy illetéktelen program fusson a szerveren, így a feltört tárhelyet minden esetben felfüggesztjük!

Fontos megjegyezni, hogy a Webgalamb szoftverrel végzett hírlevél küldést alap esetben nem engedélyezzük a tárhelyeken csak kiegészítő Hírlevél küldő csomaggal! Ha hírlevelet küldenél, inkább azt javasoljuk használj erre szakosodott online hírlevél küldő szolgáltatót, mert a webtárhelynél sokkal jobb megoldásokat kínálnak.

Kövess minket!