2.0.8: Sicherheitsfix für privmsg.php

Beitrag von **PhilippK** » 28.03.2004 21:37

In der privmsg.php ist ein Fehler, der es einem böswilligen Benutzer unter bestimmten Bedingungen ermöglicht, SQL-Befehle zu manipulieren oder zu ändern. Um dieses Problem zu beseitigen, führt bitte folgende Änderung an der privmsg.php durch:
Sucht nach

Code: Alles auswählen

			$pm_sql_user .= "AND ( ( pm.privmsgs_to_userid = " . $userdata['user_id'] . "

und ersetzt es durch

Code: Alles auswählen

			$pm_sql_user = "AND ( ( pm.privmsgs_to_userid = " . $userdata['user_id'] . "

(Hinweis: die einzige Änderung besteht in der Entfernung des Punktes nach $pm_sql_user)

Von diesem Fix können auch ältere Versionen von phpBB betroffen sein, es ist daher zu empfehlen, auf die aktuelle Version von phpBB upzudaten und die oben genannte Änderung durchzuführen. Die englische Version (2.0.8a) ist in der Zwischenzeit korrigiert, die deutsche folgt.

Offizielle Ankündigung der phpBB Group

Gruß, Philipp

marcel-stein · Beitrag von **marcel-stein** » 30.03.2004 21:39

PhilippK hat geschrieben:In der privmsg.php ist ein Fehler, der es einem böswilligen Benutzer unter bestimmten Bedingungen ermöglicht, SQL-Befehle zu manipulieren oder zu ändern. Um dieses Problem zu beseitigen, führt bitte folgende Änderung an der privmsg.php durch:
Sucht nach
Code: Alles auswählen
			$pm_sql_user .= "AND ( ( pm.privmsgs_to_userid = " . $userdata['user_id'] . "
und ersetzt es durch
Code: Alles auswählen
			$pm_sql_user = "AND ( ( pm.privmsgs_to_userid = " . $userdata['user_id'] . "
(Hinweis: die einzige Änderung besteht in der Entfernung des Punktes nach $pm_sql_user)

Von diesem Fix können auch ältere Versionen von phpBB betroffen sein, es ist daher zu empfehlen, auf die aktuelle Version von phpBB upzudaten und die oben genannte Änderung durchzuführen. Die englische Version (2.0.8a) ist in der Zwischenzeit korrigiert, die deutsche folgt.

Offizielle Ankündigung der phpBB Group

Gruß, Philipp

Und wann folgt die deutsche Version 2.08a?

Beitrag von **Henne** » 30.03.2004 22:01

Den kleinen Fix kannst doch schnell per Hand einfügen...
Hat ja nix mit der Sprache zu tun...

sandokan · Beitrag von **sandokan** » 13.04.2004 11:37

Sehe ich das richtig, dass dies die einzige Änderung von Version 2.0.8 auf 2.0.8a ist ?

Beitrag von **PhilippK** » 13.04.2004 17:12

Jepp - das ist die einzige Änderung.

Gruß, Philipp

marcel-stein · Beitrag von **marcel-stein** » 13.04.2004 17:40

PhilippK hat geschrieben:Jepp - das ist die einzige Änderung.

Gruß, Philipp

und dafür wird gleich ein eingedeutschtes paket gemacht. ist das wirklich die einzige änderung? oder lohnt sich die sprache zu erneuern?
ist in absehbarer Zeit ein weiteres Update geplant?

Beitrag von **PhilippK** » 13.04.2004 17:58

Nun, das deutsche Paket wurde eben auch auf die 2.0.8 aktualisiert

Ob/wann was neues kommt, ist unbekannt - explizit ist für die 2.0.x nichts mehr geplant, aber Sicherheitslöcher treten halt nicht immer so auf, wie geplant

Gruß, Philipp

marcel-stein · Beitrag von **marcel-stein** » 13.04.2004 18:05

PhilippK hat geschrieben:Nun, das deutsche Paket wurde eben auch auf die 2.0.8 aktualisiert
Ob/wann was neues kommt, ist unbekannt - explizit ist für die 2.0.x nichts mehr geplant, aber Sicherheitslöcher treten halt nicht immer so auf, wie geplant

Gruß, Philipp

steht nach dem Update auch 2.0.8a da?

Beitrag von **itst** » 13.04.2004 18:12

Nein, denn diese Bezeichnung spiegelt den Patchlevel eines Patchlevels wieder, und so perfektionistisch muss es für den Benutzer ja nicht sein

sandokan · Beitrag von **sandokan** » 13.04.2004 19:03

itst hat geschrieben:Nein, denn diese Bezeichnung spiegelt den Patchlevel eines Patchlevels wieder, und so perfektionistisch muss es für den Benutzer ja nicht sein

Steht bei mir aber drin

phpBB.de

2.0.8: Sicherheitsfix für privmsg.php

2.0.8: Sicherheitsfix für privmsg.php

Re: 2.0.8: Sicherheitsfix für privmsg.php