Warning: Declaration of thesis_comment::start_lvl(&$output, $depth, $args) should be compatible with Walker::start_lvl(&$output, $depth = 0, $args = Array) in /kunden/100165_20148/webseiten/edvnews.de/wp-content/themes/thesis_182/lib/classes/comments.php on line 155

Warning: Declaration of thesis_comment::end_lvl(&$output, $depth, $args) should be compatible with Walker::end_lvl(&$output, $depth = 0, $args = Array) in /kunden/100165_20148/webseiten/edvnews.de/wp-content/themes/thesis_182/lib/classes/comments.php on line 155

Warning: Declaration of thesis_comment::start_el(&$output, $comment, $depth, $args) should be compatible with Walker::start_el(&$output, $object, $depth = 0, $args = Array, $current_object_id = 0) in /kunden/100165_20148/webseiten/edvnews.de/wp-content/themes/thesis_182/lib/classes/comments.php on line 155

Warning: Declaration of thesis_comment::end_el(&$output, $comment, $depth, $args) should be compatible with Walker::end_el(&$output, $object, $depth = 0, $args = Array) in /kunden/100165_20148/webseiten/edvnews.de/wp-content/themes/thesis_182/lib/classes/comments.php on line 155
Wolfgang-Schaeuble.de wurde gehackt - edvNews.de

Wolfgang-Schaeuble.de wurde gehackt

by Jean-Marc Bristol on 10 February, 2009

Typo3 – Please update it 😉 And change passwords. More information is available here greetings from 007 aka “gewinner” *smile* – schreibt der findige typo3 Hacker auf Wolfgang Schaeuble.de


Ein Hacker, der sich 007 bzw. Gewinner nennt hat die Webseite des Innenministers Wolfgang Schaeuble gehackt. Der Hacker fordert Herrn Schaeuble auf seine Passwoerter regelmaessiger zu aktualisieren und setzte einen Link auf die Webseite Vorratsdatenspeicherung.de.

Offensichtlich benutzt Herr Schaeuble eine Version von typo3 welche cross-site scripting Attaken ermoeglicht. die Beschreibung des Bugs liesst sich wie folgt:

Problem Description: An Information Disclosure vulnerability in jumpUrl mechanism, used to track access on web pages and provided files, allows a remote attacker to read arbitrary files on a host.

The expected value of a mandatory hash secret, intended to invalidate such requests, is exposed to remote users allowing them to bypass access control by providing the correct value.

There’s no authentication required to exploit this vulnerability. The vulnerability allows to read any file, the web server user account has access to.

Screenshot:

wolfgang schaeuble hack screenshot

{ 2 comments… read them below or add one }

Axel February 10, 2009 at 22:48

Ist bestimmt nur ein photoshop fake 😉

Timi March 10, 2010 at 18:00

Das war keine Cross-Site-Scripting Lücke. Das ist schon an der URL zu erkennen.

Zum Thema Cross-Site-Scripting:
http://de.wikipedia.org/wiki/Cross-Site_Scripting

Leave a Comment

Previous post:

Next post: