Moin allerseits,
folgendes Problem:
Wird ein im Forum hochgeladenes Bild/Dokument angeklickt, erscheint die attach_id des Bildes in der Browserzeile. In meinem Forum von 1 bis aktuell 7772. Die ids werden aufsteigend vergeben. Zu finden in der db unter phpbb_attachments.
Ändere ich jetzt in der Browserzeile manuell die id, wird das entsprechende Bild dazu angezeigt. Soweit, so gut. Das Problem ist, daß so aber auch Bilder angezeigt werden, die in PMs verschickt wurden. Nicht nur Bilder, auch Dokumente aller gängigen Formate.
Jeder x-beliebige user hat so die Möglichkeit, für sie nicht bestimmte Dateianhänge, die sich z.B. Admin und Mods oder user A und B zuschicken, aufzurufen.
Jetzt die Frage, wie kann ich das unterbinden?
Dateianhänge einsehbar
Forumsregeln
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
redbull254
- Ehemaliges Teammitglied
- Beiträge: 10379
- Registriert: 05.01.2006 13:01
- Kontaktdaten:
-
friedels-home
- Mitglied
- Beiträge: 333
- Registriert: 19.02.2006 00:59
- Wohnort: Weingarten/Pfalz
- Kontaktdaten:
Die Sicherheitslücke besteht auch in PhpBB3.0.1. Ich habe von vorn herein diese Version installiert und das Problem besteht auch in meinem Board. Allerdings habe ich kein Problem damit. Von mir aus dürfen alle User alle Bilder verwenden, die hochgeladen sind. Ich kontrolliere nur wer hochladen darf. Aber die bisherigen Antworten sind nicht zielführend und daher falsch. Ein Update auf PhpBB3.0.1 behebt das Problem nicht. (und ich weiß auch nicht wie man das Problem lösen kann.)
-
redbull254
- Ehemaliges Teammitglied
- Beiträge: 10379
- Registriert: 05.01.2006 13:01
- Kontaktdaten:
@friedels-home
O.T an
Sicherheitslücke ist ein mächtiges Wort für ein Bug.
Die einzige wirkliche Sicherheitslücke sehe ich, wenn man nicht die empfohlenen Foren-Updates durchführt.
Aber ich will das nicht diskutieren, das soll jeder machen, wie er will. Nur schön die Klappe halten, wenn das Forum mal wirklich wegen fehlender Updates gehackt wurde.
O.T aus.
Spaß muss sein.
Aber dazu werden sich bestimmt die Supporter oder Moderatoren des Forums äußern, denke ich mal.
O.T an
Sicherheitslücke ist ein mächtiges Wort für ein Bug.
Die einzige wirkliche Sicherheitslücke sehe ich, wenn man nicht die empfohlenen Foren-Updates durchführt.
Aber ich will das nicht diskutieren, das soll jeder machen, wie er will. Nur schön die Klappe halten, wenn das Forum mal wirklich wegen fehlender Updates gehackt wurde.
Ich hoffe, Du verstehst Deine Aussage, ich nicht. Nur weil Antworten nicht sofort zum Ziel führen, sind sie noch lange nicht falsch.Aber die bisherigen Antworten sind nicht zielführend und daher falsch.
O.T aus.
Spaß muss sein.
Dachte auch, das dies kein Thema mehr wäre.Dakota hat geschrieben:nutzt du 3.0.0?
ich meine mich dunkel zu erinnern, das ich gelesen hab, diese sache wäre im update auf 3.0.1 behoben...
Aber dazu werden sich bestimmt die Supporter oder Moderatoren des Forums äußern, denke ich mal.
Beste Grüße
Walter
Walter
Es handelte sich in der Tat um eine Sicherheitslücke. Würde die Lücke allerdings weiterhin in 3.0.1 bestehen, wäre 3.0.2 schon lange drausen.
Die Sicherheitslücke wurde in 3.0.1 geschlossen.
Schritt-für-Schritt Updateanleitung für phpBB3 (Olympus)
Edit: Sollte das Problem in 3.0.1 tatsächlich weiter bestehen, erstell doch bitte ein Ticket im Security Tracker.
Die Sicherheitslücke wurde in 3.0.1 geschlossen.
Also Updaten!phpBB 3.0.1 released hat geschrieben:[Sec] Limit private message attachments to be viewable only by the recipient(s)/sender (Report #s23535) - reported by AlleyKat
Schritt-für-Schritt Updateanleitung für phpBB3 (Olympus)
Edit: Sollte das Problem in 3.0.1 tatsächlich weiter bestehen, erstell doch bitte ein Ticket im Security Tracker.
Powered by Coffee
Es ist in 3.0.1 behoben (habs gerade auch noch mal getestet). Wenn es bei dir auftritt, dann schlage ich vor, das du mal schaust warum das so ist (denke daran, die Anhänge die du bekommen hast oder die du verschickt hast kannst du einsehen). Ansonsten... Security Trackerfriedels-home hat geschrieben:Die Sicherheitslücke besteht auch in PhpBB3.0.1. Ich habe von vorn herein diese Version installiert und das Problem besteht auch in meinem Board. Allerdings habe ich kein Problem damit. Von mir aus dürfen alle User alle Bilder verwenden, die hochgeladen sind. Ich kontrolliere nur wer hochladen darf. Aber die bisherigen Antworten sind nicht zielführend und daher falsch. Ein Update auf PhpBB3.0.1 behebt das Problem nicht. (und ich weiß auch nicht wie man das Problem lösen kann.)
Meik Sievertsen - phpBB Development Team Leader
Strom | Gas | phpBB Services
Strom | Gas | phpBB Services
