Also es wird gesagt, dass der Bug auch in 2.0.4 auftritt. Ist das nicht der Fall, sei froh.
Ich denke die phpBB Group veröffentlicht solche Bugfixes immer nur für de aktuellste Version (phpBB 2.0.6)
Diskussion zu Mögliche XSS-Schwäche
-
codemonkey
- Ehemaliges Teammitglied
- Beiträge: 3005
- Registriert: 13.10.2002 15:15
- Wohnort: Wilhelmshaven
- Kontaktdaten:
2.0.4
Diesem (template-unabhängigen, wie ich annehme) Test zufolge ist mein phpBB 2.0.4 nicht betroffen. Auch ohne diesen Patch öffnet sich kein JavaScript-Fenster, sondern der Code wird - wie hier - einfach hingeschrieben. Neben dem Mail-Bug ist das, glaube ich, schon die zweite schwere Sicherheitslücke, die in den neueren Versionen dazugekommen ist. Sie ist offenbar auch nicht ganz korrekt dokumentiert ("...which also affects 2.0.4...").codemonkey hat geschrieben:Ja klar kann man das testen.
Poste in deinem Forum einfach mal diesen CodeWenn sich ein Java Script Fenster öffnet, ist der Bug noch drin, wenn wie hier bei uns der Code einfach hingeschrieben wird hat der einbau erfolgreich geklappt.Code: Alles auswählen
[url=http://www.phpBB.de" onclick="alert('Der Bug ist noch enthalten!!')]text[/url]
[url=http://www.phpBB.de" onclick="alert('Der Bug ist noch enthalten!!')]text[/url]
Zwei weitere hingegen wurden behoben (die kleinen Patches habe ich manuell upgedatet). Es steht somit 1:1. Allerdings wissen wir nicht, ob noch welche dazukommen, was meine Bereitschaft, auf 2.0.6 oder gar ein frühes 2.2 (sobald es herauskommt) zu aktualisieren, nicht gerade erhöht.
Dieser unbedingt empfehlenswerte Artikel
Wichtige Patches für phpBB
ist essenziell und gehört ganz an den Anfang von "Ankündigungen und Neuigkeiten" und nicht irgendwo versteckt in "phpBB 2.x at work" meiner bescheidenen Meinung nach.
Hoffentlich wird er von PhilppK aktuell gehalten.
Re: 2.0.4
Der Mail-Bug war keine Sicherheitslücke.Neben dem Mail-Bug ist das, glaube ich, schon die zweite schwere Sicherheitslücke, die in den neueren Versionen dazugekommen ist.
Meik Sievertsen - phpBB Development Team Leader
Strom | Gas | phpBB Services
Strom | Gas | phpBB Services
-
spritzkuchen
- Mitglied
- Beiträge: 47
- Registriert: 23.03.2003 21:38
Leerzeichen sind in URL's sowieso nicht direkt erlaubt, dafür gibt es %20.
Test File
Und User meckern immer. Das Sicherheitsloch wurde blöderweise geöffnet (unwissentlich), da wir die BBCode funktionen für url erweitert haben, da sich einige user beschwert haben, das ihre urls (z.B. die für emule usw.) nicht funktionierten.
Man kann es nie jemandem Recht machen, so ist das nun einmal.
Ausserdem sollten die Leute, die Dateien mit Leerzeichen im Web speichern sowieso erschlagen werden (ich spreche hier als Linux Admin).
Test File
Und User meckern immer. Das Sicherheitsloch wurde blöderweise geöffnet (unwissentlich), da wir die BBCode funktionen für url erweitert haben, da sich einige user beschwert haben, das ihre urls (z.B. die für emule usw.) nicht funktionierten.
Man kann es nie jemandem Recht machen, so ist das nun einmal.
Ausserdem sollten die Leute, die Dateien mit Leerzeichen im Web speichern sowieso erschlagen werden (ich spreche hier als Linux Admin).
Meik Sievertsen - phpBB Development Team Leader
Strom | Gas | phpBB Services
Strom | Gas | phpBB Services
Freedom hat geschrieben:Nichts wie Ärger mit dem eMule-Schrott, stimmt's? Hauptsache, die gewinnen beim phpBB.de Community Contest!Acyd Burn hat geschrieben:Das Sicherheitsloch wurde blöderweise geöffnet (unwissentlich), da wir die BBCode funktionen für url erweitert haben, da sich einige user beschwert haben, das ihre urls (z.B. die für emule usw.) nicht funktionierten.
Au! Na das war wohl ein übler Ausrutscher! Denk bitte daran, daß es Menschen gibt, die tun so etwas aus purer Unwissenheit und ohne böse Absicht. Auch Du bist nicht perfekt auf die Welt gekommen.Ausserdem sollten die Leute, die Dateien mit Leerzeichen im Web speichern sowieso erschlagen werden (ich spreche hier als Linux Admin).
Naja, auch wenn das bei MP3's garnicht schlecht ist...Dwing hat geschrieben:Sollten sie IMHO weder unter Linux noch unter Windows...Acyd Burn hat geschrieben:Ausserdem sollten die Leute, die Dateien mit Leerzeichen im Web speichern sowieso erschlagen werden (ich spreche hier als Linux Admin).
QUADRATDESIGN. Eine runde Sache.
Besuchen Sie unsere Agentur für Webdesign unter http://quadratdesign.de
Besuchen Sie unsere Agentur für Webdesign unter http://quadratdesign.de
-
spritzkuchen
- Mitglied
- Beiträge: 47
- Registriert: 23.03.2003 21:38
Kommt drauf an, wenn man hunderte entsprechende Files hat und dann alles neu machen muss ist das auch nicht so prickelnd. Schliesslich hat das bisher ja auch funktioniert obwohl es nichts mit JavaCode zu tun hat und somit auch kein Sicherheitsleck darstellt.Dwing hat geschrieben:Besser als ein Sicherheitsleck, oder ?
mfG
Spritzkuchen
Spritzkuchen
