Warnung vor chCounter – Sicherheitslücke
Den beliebten chCounter zur Statistikerhebung setze ich hier mir kurzen Unterbrechungen bereits fast dreieinhalb Jahre ein. Doch er hat eine Sicherheitslücke die es jedem ermöglicht in das Administrationsinterface zu kommen. Begebt euch einfach auf eure Login-Seite des chCounters und gebt als Benutzernamen und Passwort einmal “or ‘=’” (ohne meine Anführungszeichen ein).
Hier mal ein Screenshot meines Blognachbarn Tim:
Darauf aufmerksam gemacht hat mich Lainux. So, nun zur Abhilfe.
Öffnet in eurem Unterordner includes des Counters die Datei functions.inc.php.
Sucht die Zeile mit dem Text chC_login und fügt folgende Zeile darunter ein:
$name=mysql_real_escape_string($name);
Sieht dann so aus:
Für die Lösung dürft ihr euch bei Dirk Vorderstraße bedanken – der hat das “mal eben” während eines kleinen Chats gelöst.
Artikel per RSS-Feed
Caschy bei Google+
Caschy bei Twitter
Caschy bei Facebook
Caschy bei XING
Caschy bei YouTube
19 Kommentare zu “Warnung vor chCounter – Sicherheitslücke”
Tim sagt
Echt hammer. Wer weiß, was da noch für Lücken drin stecken. Aber eine vergleichbare Counterlösung gibt es leider nicht.
Vielen Dank für die schnelle Lösung!
Kommentar am 16. April 2009 um 21:13 geschrieben.
Julius sagt
Versteh ich da was falsch oder warum muß ein login für einen lokalen Counter überhaupt nach außen offen sein? Btw: wenn schon mysql_(real)_escape_string (so nachm motto: besser das gegen sql-inj als garnix), warum dann nur auf $name und nicht auch gleich auf $pw?
Naja, mir isses gleich.
Kommentar am 16. April 2009 um 21:18 geschrieben.
Julius sagt
na immerhin wurde mein kommentar hier als spam erkannt
(was evtl. gar nicht so falsch ist)
Kommentar am 16. April 2009 um 21:21 geschrieben.
b-age (
@b_age) sagt
oha, ist ja krass.
danke für den hinweis, gleich behoben.
Kommentar am 16. April 2009 um 21:24 geschrieben.
-tmh- sagt
Echt schön von dir beschrieben worden, sollte jeder fixxen können
Kommentar am 16. April 2009 um 21:44 geschrieben.
Marcus sagt
Vielen Dank für den Hinweis! Hab das Problem direkt mal behoben. Gute Anleitung Caschy
Kommentar am 16. April 2009 um 21:45 geschrieben.
Julius sagt
@Tim bzgl. ‘was sonst noch für Lücken’: wahrscheinlich erstmal überall dort, wo daten von aussen mit der DB in berührung kommen, sprich: wenn schon dann besser gleich alle queries escapen (z.B. sprintf + mysql_real_escape_string). aber darum sollte sich eigentlich der bastler dieser software kümmern.
(nur nebenbei: global für die DB-con find ich jetzt auch etwas komisch – singleton anyone? …ich les in den code jetzt besser nicht rein)
Kommentar am 16. April 2009 um 21:46 geschrieben.
Tim sagt
@Julius: Das Problem beim chCounter ist ja, der eigentliche Entwickler ist schon lange raus. Und auch der Typ, der solche Sachen fixen wollte ist auch vom Erdboden verschluckt.
Kommentar am 16. April 2009 um 22:14 geschrieben.
MajorShadow sagt
Irgendwie wird mir schlecht bei sowas
Vorallem wenn der Entwickler dann noch treffend als “Bastler” bezeichnet wird.
Wenn die Gerüchte über IBM und Sun stimmen und somit die evtl. schweren Konsequenzen für MySQL, dann wäre ich ja dafür, dass sich IBM noch irgendwie PHP unter den Nagel reißt
(wer die Ironie und Logik findet, darf sie behalten)
Kommentar am 16. April 2009 um 22:59 geschrieben.
Bernd (
@http://blog.bernd-distler.net) sagt
Danke für den Hinweis! Schade, dass es keine ordentliche aktuelle kostenlose Alternative zu chCounter gibt
Kommentar am 17. April 2009 um 08:05 geschrieben.
paterbrown sagt
Hatte auch mal den chCounter im Einsatz. Bin aber inzwischen zu Piwik gewechselt. Auf jeden Fall eine sehr gute Alternative wie ich finde und aktiv in Entwicklung…
Kommentar am 17. April 2009 um 08:35 geschrieben.
Roman sagt
@Tim Vergleichbare Counterlösungen gibt es wie Sand am Meer. Analytics, AwStats sind nur zwei, die es locker mit dem ChCounter aufnehmen können.
Wenn schon beim Login so schwere XSS-Fehler auftreten, würde ich von einer weiteren Verwendung der Software sofort absehen.
Kommentar am 17. April 2009 um 09:45 geschrieben.
Tim sagt
@Roman: Ich suche aber mehr nach einer reinen Counterlösung. Möchte gerne die Möglichkeit haben, die Besucherzahlen ausgeben zu können. Und Google Analytics kommt bei mir nicht drauf. Ich teste nebenbei noch piwik und mint. Aber die find ich schon fast zu überladen. Der chCounter war da leider genau rchtig.
Kommentar am 17. April 2009 um 10:33 geschrieben.
caschy sagt
@Tim:
Mint sieht toll aus, kostet aber.
Kommentar am 17. April 2009 um 10:34 geschrieben.
Carabon sagt
es gibt auch noch phpMyVisitors, kann man sich ja anpassen wie man will. Läuft auf dem eigen Server und gibt daher keine Daten weiter, wie es Analytics tut.
Kommentar am 17. April 2009 um 10:45 geschrieben.
ralf_donald (
@ralf_donald) sagt
Hab ich gleich mal behoben.
Danke, auch an Dirk.
Kommentar am 17. April 2009 um 17:57 geschrieben.
mark sagt
@carabon: Du meinst bestimmt phpMyVisits. Dessen Nachfolger ist das bereits erwähnte Piwik.
Kommentar am 17. April 2009 um 21:04 geschrieben.
Franzi sagt
LOL Escape ist das heut zu tage nicht schon zu einfachen für frames? die werden dadruch auch nicht verhindert leute ^^
Kommentar am 15. Oktober 2009 um 09:39 geschrieben.
Jürgen sagt
Bin eben via Google hier gelandet….
Das (expCounter) ist der Nachfolger von chCounter, baut drauf auf und wird aktuell weiterentwickelt!
http://www.expblog.net/expcounter/
(siehe unten auf der Seite im About)
LG
Juergen (hausl)
Kommentar am 28. Oktober 2010 um 09:56 geschrieben.