phpBB.de

Recht hast du, aber stell dir vor es wissen auch andere Leute (Mr.Böse) über die Lücke bescheit und nutzen diese aus. Wenn diese dann in einem Security Tracker steht, können sich Admins selber behiliflich werden, indem sie diese Lücke selbst patchen und dann bei Bedarf den offiziellen Fix des ...

Ok meine Aussagen beziehen sich auf den aktuellen: Stand Alone Ctracker, ich dachte dass der für phpBB2 genau der gleiche ist.



Weiß das Cback auch schon? Sonst solltest Du es fairnesshalber ihm mal mitteilen...

Ich weiß nicht ob es CBACK weiß, aber wenn die schon sowas, was absichert schreiben ...

In diesem Sinne ist es doch erfreulich, dass die phpBB-Group eine weitere Sicherheitslücke entdeckt

Das war ich, und nicht die phpBB-Group. Also, nicht dass ich etwas gegen phpBB habe, im Gegenteil ist meine Lieblingsboardsoftware . Weiter so.

dass ich CTracker von CBack installiert habe, mach ich mir wegen der Sicherheit keine großen Sorgen

1. Das Ding filtert nur Attacken über die URL, sprich man kann alle Exploits immer noch anwenden, wenn die Lücke in $_POST ist.
2. Ist das Teil nicht so schlau, es filtert UNION und union aber ...

Ich will zwar nicht stören, aber man muss nur ein paar Zeilen ändern in der cache/tp_prosilver_forumlist_body.html.php

und schon seht ihr den letzten Titel auch ohne SQL-Abfragen.

Weiss zwar jetzt den genauen Code nicht mehr wie er für das kleine Bildchen war, dass zum letzten Topic springt(kann ...