bezüglich: "Sicherheitslücke in PHP betrifft auch phpBB

[achiboy]

Danke für den Hinweis auf der Seite:
http://www.phpbb.de/viewtopic.php?t=73199

Besteht das Problem auch, wenn man wie bei "So mache ich mein Board sicher" denn folgenden Tip befolgt?

Eventuell habt ihr auch die Möglichkeit, die config.php außerhalb des Web-Ordners abzulegen, so dass Sie nicht über eine URL zu erreichen ist (wenn Sie auch nicht per FTP zugänglich sein soll, so benötigt ihr in aller Regel die Unterstützung eures Providers). Dazu verschiebt ihr die Datei in einen Ordner außerhalb des Web-Ordners und erstellt im PHP-Verzeichnis eine neue config.php mit folgendem Inhalt:
Code:
<?php
require('/directory/config.php');
?>
Dabei müsst ihr die Pfadangabe entsprechend anpassen.

[marino]

die oben erwähnten sicherheitslücken betreffen php selber und können nur mit den dafür vorgesehenen patches geschlossen werden ..solltest du keinen eignen webserver haben, auf welchen das forum liegt, sondern dein forum bei einem hoster liegt ist für dich diese meldung unintressant . auswirkungen auf das forum , durch das patchen/fixen sind derzeit nichtbekannt

[Sorcio]

Kann man eigentlich per Internet direkt die congif.php anzeigen lassen?
Also bsp:

http://www.xyz.de/phpBB2/config.php

Geht das so? Oder wie wird das auslesen geschützt?

Danke

[marino]

und wieder gelöscht ..

[larsneo]

solange der php-parser einwandfrei läuft, kann man die datei nicht anzeigen lassen.
wenn allerdings (wie z.b. beim highlight exploit) systembefehle eingeschleust werden können, sieht die sache anders aus, in diesem fall inkludiert man die datei und gibt die entsprechenden variablen aus bzw. verschickt ganz einfach die datei per mail an einen vorzugsweise russischen freemail-account.

[marino]

danke lars für die sehr ausführliche antwort .. wieder was gelernt

[FatFreddy]

Info für alle, die bei ihr Forum bei 1&1 haben.

1&1 hat die Updates auf PHP 4.3.10 eingespielt.

FatFreddy