Zwei Schwachstellen auf seiner US-Website hat das Online-Auktionshaus eBay geschlossen. Es handelt sich bei einer der beiden um eine kritische SQL-Injection-Lücke im Verkäuferbereich, durch die man lesend und schreibend auf eine Datenbank des Unternehmens zugreifen konnte. Das Einschleusen von Datenbankbefehlen ist durch eine SQL-Injection-Lücke über unzureichend gefilterte HTTP-Parameter möglich.

Es handelte sich bei der zweiten Lücke um eine Cross-Site-Scripting-Lücke, durch die die man JavaScript-Code auf dem eBay-Server platzieren konnte, der dann beim Aufruf einer bestimmten URL ausgeführt wurde. Dies hätte ein Angreifer dazu missbrauchen können, um Zugangsdaten von eBay-Nutzern zu stehlen. Erstmals wurde die Lücke vor eineinhalb Wochen öffentlich dokumentiert. Das Unternehmen gab am vergangenen Donnerstag gegenüber The Register an, dass die Schwachstelle behoben sei.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE