Diskussion zu phpBB 2.0.5 released

Beitrag von **itst** » 18.06.2003 17:44

Solche Fragen bitte im passenden Forum (Installation & Update) posten.

Beitrag von **Henne** » 18.06.2003 18:05

Balint hat geschrieben:Ich habe dieses Mal (ich bin mit dem Board seit 2.0.1 dabei) das Patchfile benutzt. Ich habe zwar keinen Zugriff auf den Unix-Befehl patch, konnte aber eine Win32-Portierung finden, die gut funktioniert hat. Ich bekomme von den veränderten Dateien ein *.orig und manchmal ein *.rej, in denen mißlungene Änderungen drin sind. Diese habe ich manuell nachgeprüft und verändert.

Kannst mal die Parameter angeben, die du verwendet hast.
Hast du sonst noch was geändert (im Vorfeld)?

Ich bin heute glaube ich zu blöd...

Maggy · Beitrag von **Maggy** » 18.06.2003 23:52

Wichtig

Ich habe mein Forum damals auf so ne komische Version aktualisiert wobei es 2.0.4 ist schaut mal selbst http://forum.oc-limbach.de meine Frage nun ist es möglich zu updaten aber das das Design das gleiche bleibt ?

Das Prob ist als ich auf die eigentliche Portalversion umgestellt habe welche ich auf www.phpbb2.de gedownloadet habe mussten selbst die datenbanken umgestellt werden und war viel arbeit war vorher und nachher angeblich 2.0.4

WER KANN MIR HELFEN?!
Kann ich Update vornehmen wenn ja wie.....

Maggy

Beitrag von **itst** » 19.06.2003 00:22

itst hat geschrieben:Solche Fragen bitte im passenden Forum (Installation & Update) posten.

Beitrag von **Leuchte** » 19.06.2003 10:00

Henne23 hat geschrieben:Kannst mal die Parameter angeben, die du verwendet hast.
Hast du sonst noch was geändert (im Vorfeld)?

Ich bin heute glaube ich zu blöd...

wenn ich mich nicht täusche stehen die doch in der install.htm

[...]With this done you should run the following command: patch -cl -d [PHPBB DIRECTORY] -p1 < [PATCH NAME] [...]

hmueller · Beitrag von **hmueller** » 20.06.2003 19:04

ACHTUNG:

offensichtlich Sicherheitslücke in phpBB 2.0.5

We've been informed that a possible SQL injection vulnerability has been released to various lists and sites. The issue is unlikely to affect many users given the requirements that surround it.

siehe http://www.phpbb.com/phpBB/viewtopic.ph ... 046#636046

Dave · Beitrag von **Dave** » 20.06.2003 19:35

Also ich sage es mal so:

2.0.5 = Müll

Ich benutze 2.0.4 weiter. Die hälfte der sachen geht nicht auf 2.0.5 und man bekommt fehler ohne sinn und verstand. Selbst nachdem ich den Mod ausgebaut habe wo ich meine das der Fehler liegt geht es nicht mehr.

Dave · Beitrag von **Dave** » 20.06.2003 20:06

stefan hat geschrieben:As Announced on www.phpbb.com:

We've been informed that a possible SQL injection vulnerability has been released to various lists and sites. The issue is unlikely to affect many users given the requirements that surround it.

The problem is easily fixed, open viewtopic.php and before:

Code: Alles auswählen

if ( isset($HTTP_GET_VARS[POST_TOPIC_URL]) ) 
{ 
      $topic_id = intval($HTTP_GET_VARS[POST_TOPIC_URL]); 
} 
else if ( isset($HTTP_GET_VARS['topic']) ) 
{ 
      $topic_id = intval($HTTP_GET_VARS['topic']); 
}

add:

Code: Alles auswählen

$topic_id = $post_id = false;

Scroll down and find:

Code: Alles auswählen

$join_sql_table = ( !isset($post_id) ) ? '' : ", " . POSTS_TABLE . " p, " . POSTS_TABLE . " p2 "; 
$join_sql = ( !isset($post_id) ) ? "t.topic_id = $topic_id" : "p.post_id = $post_id AND t.topic_id = p.topic_id AND p2.topic_id = p.topic_id AND p2.post_id <= $post_id"; 
$count_sql = ( !isset($post_id) ) ? '' : ", COUNT(p2.post_id) AS prev_posts"; 

$order_sql = ( !isset($post_id) ) ? '' : "GROUP BY p.post_id, t.topic_id, t.topic_title, t.topic_status, t.topic_replies, t.topic_time, t.topic_type, t.topic_vote, t.topic_last_post_id, f.forum_name, f.forum_status, f.forum_id, f.auth_view, f.auth_read, f.auth_post, f.auth_reply, f.auth_edit, f.auth_delete, f.auth_sticky, f.auth_announce, f.auth_pollcreate, f.auth_vote, f.auth_attachments ORDER BY p.post_id ASC";

Change that to:

Code: Alles auswählen

$join_sql_table = ( empty($post_id) ) ? '' : ", " . POSTS_TABLE . " p, " . POSTS_TABLE . " p2 "; 
$join_sql = ( empty($post_id) ) ? "t.topic_id = $topic_id" : "p.post_id = $post_id AND t.topic_id = p.topic_id AND p2.topic_id = p.topic_id AND p2.post_id <= $post_id"; 
$count_sql = ( empty($post_id) ) ? '' : ", COUNT(p2.post_id) AS prev_posts"; 

$order_sql = ( empty($post_id) ) ? '' : "GROUP BY p.post_id, t.topic_id, t.topic_title, t.topic_status, t.topic_replies, t.topic_time, t.topic_type, t.topic_vote, t.topic_last_post_id, f.forum_name, f.forum_status, f.forum_id, f.auth_view, f.auth_read, f.auth_post, f.auth_reply, f.auth_edit, f.auth_delete, f.auth_sticky, f.auth_announce, f.auth_pollcreate, f.auth_vote, f.auth_attachments ORDER BY p.post_id ASC";

I would like to add that (as now typical ...) we were given practically no time to fix this issue before it appeared on the web.

So habt ihr dann den Fehler in SQL behoben

~noch nicht getestet von mir~

fussle · Beitrag von **fussle** » 20.06.2003 21:31

war gerade auf phpBB.com - wo finde ich den artikel ? hat mal jemand nen link ?

hab gerade ein wenig match in der birne

enrico · Beitrag von **enrico** » 20.06.2003 22:10

vielleicht ein bißchen lesen:
http://www.phpbb.com/phpBB/viewtopic.ph ... 046#636046

steht doch oben