Diskussion zu Mögliche XSS-Schwäche

Saro · Beitrag von **Saro** » 16.09.2003 19:19

Ist dieser Fehler in der jetzigen phpBB 2.0.6 jetzt behoben also wenn ich es jetzt ziehen würde von Sourceforge oder wird der eigentliche Download nicht geändert und es ist immer ein nachträglich Bugs beheben notwendig?

Acyd Burn · Beitrag von **Acyd Burn** » 16.09.2003 19:24

In dem Package auf sourceforge.net ist es behoben... wir haben es neu "zusammengepackt".

satyr · Beitrag von **satyr** » 23.09.2003 19:53

Bei mir war noch der Smiliecreator im Weg, die einen Zeilen habe ich zuerst nicht gefunden.
Habe es aber nun geschafft und den Code vom Creator einfach wieder dazwischengesetzt.

Bug gefixt!

Zaubi · Beitrag von **Zaubi** » 10.12.2003 07:43

Hallo,....

ich hab mir den Patch eingebaut in ein 2.0.4
und kann nun nicht mal ein Wort, z.Bsp: "Hier" als Link setzen.
Das ist nicht gut,
Gibts denn da nun schon eine Lösung für?

Gruß Zaubi

Acyd Burn · Beitrag von **Acyd Burn** » 10.12.2003 12:47

Der Patch ist für 2.0.6 und nicht für 2.0.4.

Zaubi · Beitrag von **Zaubi** » 10.12.2003 13:35

Huhu Acid ...

ich bin nach dem Post gegangen:
http://www.phpbb.de/viewtopic.php?t=33318

Und da steht:

Cross Site Scripting, wenn HTML aktiviert (alle Versionen)
Potenzielle Schwachstelle in search.php (2.0.6 und früher)
Cross Site Scripting in bbcode.php (2.0.6, 2.0.5 und 2.0.4)
Potenzielle Schwachstelle in admin_styles.php (2.0.5 und früher)
Potenzielle Schwachstelle in viewtopic.php (2.0.5 und früher)
Sicherheitsproblem mit der Highlight-Funktion (2.0.3 und früher)

Also hab ich das gemacht.
Vielleicht isses bisschen mißverständlich geschrieben?
Soll die Übersicht nur sagen, dass es bei den aufgezählten Versionen auftritt?
Aber da der Link dann bei

Cross Site Scripting in bbcode.php (2.0.6, 2.0.5 und 2.0.4)

auf diesen Thread hier verweist .. hm.
Da werden bestimmt noch andere 2.0.4 Benutzer auch diese Änderung vornehmen.

winkeee Zaubi

Acyd Burn · Beitrag von **Acyd Burn** » 10.12.2003 15:25

Ich hab die Liste nicht geschrieben, aber wenn der Patch zur Sicherheitslücke für das 2.0.6 auf phpbb.com gepostet wurde, dann ist es auch nur für das 2.0.6.

Acyd Burn · Beitrag von **Acyd Burn** » 10.12.2003 15:25

Acyd Burn hat geschrieben:Ich hab die Liste nicht geschrieben, aber wenn der Patch zur Sicherheitslücke für das 2.0.6 auf phpbb.com gepostet wurde, dann ist es auch nur für das 2.0.6.

edit: Es "könnte" auch in anderen Versionen auftreten, es wird aber immer nur die aktuellste Version supportet.

Beitrag von **Pyramide** » 10.12.2003 15:44

Generell sollte man immer auf die neuste Version updaten, denn die in dem Thema aufgelisteten Bugs sind nur die, die zusätzlich zu den bereits in 2.0.5 und 2.0.6 gefunden wurden.