Sicherheitslücke? - Beiträge ändernüber SQL-Abfrage

Probleme bei der regulären Arbeiten mit phpBB, Fragen zu Vorgehensweisen oder Funktionsweise sowie sonstige Fragen zu phpBB im Allgemeinen.
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Antworten
Benutzeravatar
itst
Ehrenadmin
Beiträge: 7418
Registriert: 21.08.2001 02:00
Wohnort: Büttelborn bei Darmstadt
Kontaktdaten:
Kontaktdaten von itst

Beitrag von itst »

Äh...

1. Reden wir von posting.php oder viewtopic.php?
2. War der User 'admin' eingeloggt und hat dieser User Admin-Rechte?
3. Welche Rechte waren für das Forum vergeben?
4. Welche phpBB Version war das? (November impliziert 2.0.3)?

Ich habe mir gerade mal _kurz_ die posting.php angeschaut... Wenn das tatsächlich eine Lücke wäre, wäre davon das gesamte phpBB betroffen, nicht nur die posting.php, weil dort gar keine User abgefragt werden, sondern nur die dafür zuständigen Dateien include-et werden.
Sascha A. Carlin,
phpBB.de Ehrenadministrator :o
Nach oben
codemonkey
Ehemaliges Teammitglied
Beiträge: 3005
Registriert: 13.10.2002 15:15
Wohnort: Wilhelmshaven
Kontaktdaten:
Kontaktdaten von codemonkey

Beitrag von codemonkey »

So wie ich das aus hmuellers ersten Beitrag herauslese, geht es darum diese uminöse "Verknüpfung" an die viewtopic.php anzuhängen. Da solls wohl Probleme geben.
Nach oben
hmueller
Mitglied
Beiträge: 458
Registriert: 30.07.2002 10:39
Wohnort: Neuötting
Kontaktdaten:
Kontaktdaten von hmueller

Beitrag von hmueller »

itst hat geschrieben:
1. Reden wir von posting.php oder viewtopic.php?
2. War der User 'admin' eingeloggt und hat dieser User Admin-Rechte?
3. Welche Rechte waren für das Forum vergeben?
4. Welche phpBB Version war das? (November impliziert 2.0.3)?
1. wie gesagt, bei der Demo letzte Woche wurde das an die viewtopic.php angehängt, aber da funzte es nicht. Das kann sowohl an der (mittlerweile installierten) 2.0.4 liegen als auch daran, daß er das an eine andere Datei hätte anhängen müssen.

2. nein, der war gar nie als user registriert
3. öffentlich
4. 2.0.2 oder 2.0.3 - ich hatte damals 2.0.2 installiert und dann gleich (am selben Tag) 2.0.3 drauf installiert. Ob der Beitrag jetzt noch in 2.0.2 oder schon in 2.0.3 editiert wurde, kann ich nicht nachvollziehen.
Nach oben
Friese
Mitglied
Beiträge: 53
Registriert: 31.01.2003 11:10
Wohnort: bei Schlicktown

Beitrag von Friese »

hmueller hat geschrieben: 1. wie gesagt, bei der Demo letzte Woche wurde das an die viewtopic.php angehängt, aber da funzte es nicht. Das kann sowohl an der (mittlerweile installierten) 2.0.4 liegen als auch daran, daß er das an eine andere Datei hätte anhängen müssen.
Also stimmt, was ich geschrieben habe, dass laut securitytracker diese Lücke geschlossen wurde.
Zitat: "Solution: The vendor has released a fixed version (2.0.4)"
Zumindest bei 2.0.4

Bleibt dann aber die Frage offen, wo die Mod für ältere Versionen zu finden ist.

Gruß Friese
Friesland - ein Hauch herber
Nach oben
hmueller
Mitglied
Beiträge: 458
Registriert: 30.07.2002 10:39
Wohnort: Neuötting
Kontaktdaten:
Kontaktdaten von hmueller

Beitrag von hmueller »

Friese hat geschrieben:Also stimmt, was ich geschrieben habe, dass (...) Lücke geschlossen wurde.
der Eintrag im security-Tracker bezieht sich aber auf einen Bug im PM-System!
Natürlich ist es möglich, daß auch "meine" Sicherheitslücke in 2.0.4 geschlossen ist, ich will aber dennoch sichergehen.
Nach oben
Antworten

Zurück zu „phpBB 2.0: Administration, Benutzung und Betrieb“