Hallo,
mal wieder einen Bug in WHMCS gefunden, mache mir aber gar nicht erst die Mühe den zu melden
Dieser ermöglicht es jedem, den Lizenz-Key auszulesen, der das Admin-Verzeichnis kennt... Also ändert euer Admin-Verzeichnisnamen
Gruß
Richard
Hallo,
mal wieder einen Bug in WHMCS gefunden, mache mir aber gar nicht erst die Mühe den zu melden
Dieser ermöglicht es jedem, den Lizenz-Key auszulesen, der das Admin-Verzeichnis kennt... Also ändert euer Admin-Verzeichnisnamen
Gruß
Richard
Ich wei0, eigentlich ist es sinnlos
Zitat[UNCONFIRMED] #JBG-767080
Hallo Richard,
lässt sich das Verzeichnis so einfach ändern? Hat es nicht auch Auswirkungen auf Addons oder funktioniert danach alles seinen gewohnt weg?
Lässt sich der Bug nicht auch durch htaccess oder Leserechte beschränken?
Laut den AGBs bist du glaube ich bei WHMCS dazu verpflichtet Fehler zu melden, sofern diese bekannt sind. Halte ich generell für einen guten Schachzug, denn solche Fehler ziehen ja meist größere Probleme mit sich, falls die falschen Kreise von dem Bug erfahren bzw. diesen eigenständig herausfinden.
Beste Grüße
Jan
"Laut den AGBs bist du glaube ich bei WHMCS dazu verpflichtet Fehler zu melden, sofern diese bekannt sind. Halte ich generell für einen guten Schachzug, denn solche Fehler ziehen ja meist größere Probleme mit sich, falls die falschen Kreise von dem Bug erfahren bzw. diesen eigenständig herausfinden."
Das ist mir doch scheiß egal, ist in DE wahrscheinlich eh nicht rechtens Inzwischen habe ich ihn aber gemeldet.
"lässt sich das Verzeichnis so einfach ändern? Hat es nicht auch Auswirkungen auf Addons oder funktioniert danach alles seinen gewohnt weg?"
Wenn Du das in der Config umbenennst ja, aber es ist nicht immer auszuschließen.
"Lässt sich der Bug nicht auch durch htaccess oder Leserechte beschränken?"
Dadurch verrate ich ja aber wo der liegt, und das will ich nicht
Check gleich mal deine Mails.
lässt sich das Verzeichnis so einfach ändern? Hat es nicht auch Auswirkungen auf Addons oder funktioniert danach alles seinen gewohnt weg?
Punkt Eins:
http://docs.whmcs.com/Further_Security_Steps
Wie gesagt: besser sind Standard-Einstellungen Man kann ja auch ne .htaccess rein machen oder so.
Andernfalls kann man sich vielleicht die Kompatibilität mit (Legacy) Plugins versauen.
Okay, WHMCS jetzt reicht es.
ZitatThis is not a bug, it is by design.
Oder auch: Its not a bug, its a feature.
Da WHMCS nun offiziell bestätigt hat, das es sicherheitstechnisch nicht relevant ist, bitteschön:
Im Adminverzeichnis die Datei licenseerror.php einmal aufrufen, da habt ihr den Key.
Zur Behebung einfach die Datei löschen, hat nichts weiter zur Auswirkung.
UND NUN VIEL SPAß WHMCS MIT GECRAWLTEN LIZENZEN! MEINE FRESSE.
Hallo @ all
In unserem Wiki steht drin was man machen kann muss
Punkt Eins:
http://docs.whmcs.com/Further_Security_Steps
und zwar denau hier
http://www.whmcs-germany.com/i…=Lexicon&lexiconID=1&c=14
Trotzdem ist WHMCS inkompetent wie verrückt...
Diese Möglichkeit den Code auszulesen wurde mit Version 5.3.9 übrigends entfernt. Sie sind nicht die schnellsten aber manchmal wird das eine oder andere Ticket doch abgearbeitet.
ZitatCase #4991 - Hide license key in license error page notifications