Bis hin zur aktuellen Version der Open Source Software osDate gibt es wohl eine Sicherheitslücke, die es Angreifern ermöglicht, eigenen PHP-Code ausführen. Das musste ich schmerzlich erfahren, als ein Gemeinschaftsprojekt nur wenige Stunden nach Veröffentlichung bereits "gehackt" wurde.
Die bei CVE erwähnte Lücke in der Datei php121db.php wurde inzwischen von mir geschlossen - einen offiziellen Patch gibt es noch nicht. Zusätzlich zog das Projekt auf einen Server, bei dem der PHP-Parameter register_globals ausgeschaltet ist. Damit dürften weitere Angriffe dieser Art etwas erschwert werden oder (hoffentlich) ganz ausbleiben.
