neue Lücken in PHP?

[kratzer54847]

und http://www.phpbb.de/viewtopic.php?t=73201

[danysahne333]

Sauber lösen kann dieses Problem tatsächlich nur der Hoster, indem er eine korrigierte Version von PHP installiert.

Und auch wenn es natürlich kein Problem von phpBB ist, kann man etwas machen, um den Fehler wenigstens etwas einzudämmen. Ich habe mich gestern früh fast über meine Tastatur erbrochen, als es mir auf Anhieb und dann wiederholt gelang, mittels dieses Exploits unsere DB-Zugangsdaten auszulesen.

Bis der Hoster unser PHP-Modul aktualisiert hat, habe ich mir damit beholfen, die Zugangsdaten so rasch wie möglich zu überschreiben. Die Daten werden ja nur einmalig benötigt und danach im Verlauf der Seitengenerierung nie wieder.

Folgendes habe ich gemacht:

Code: Alles auswählen

--- ÖFFNE ---
./includes/db.php

-- FINDE ---
// Make the database connection.
$db = new sql_db($dbhost, $dbuser, $dbpasswd, $dbname, false);

--- SETZTE DANACH EIN: ---
$dbhost = 'aaaaaaaaaaaaaaaaaaaaaaaaa';
$dbuser = 'aaaaaaaaaaaaaaaaaaaaaaaaa';
$dbpasswd = 'aaaaaaaaaaaaaaaaaaaaaaaaa';
$dbhost = 'aaaaaaaaaaaaaaaaaaaaaaaaaaaa';

Danach ist es mir nicht wieder gelungen, die Zugangsdaten auszuspähen. Diese Lösung ist alles andere als perfekt und mindert die Notwendigkeit, PHP zu aktualisieren nicht um das Geringste. Aber als 'quick and dirty'-Hack [ich möchte sowas nicht 'Mod' nennen] tat es bei uns seinen Zweck.


Grüße,
Gérome

wird das problemmit diesem mod wirklich behoben? nicht das sich dadurch neue lücken auftuen???

[kratzer54847]

mit CyberAliens Workaraund wird das Problem sehr gut behoben!

[danysahne333]

mit CyberAliens Workaraund wird das Problem sehr gut behoben!

hat jemand einen link dazu?

[kratzer54847]

hab ich oben verlinkt!

[Gumfuzi]

Gute Idee!

falls jemand schon eine Antwort von Partnerhosting.de hat, dann bitte her damit