Aktueller Bug? Bearbeitung?

[Domber]

http://antichat.ru/txt/phpbb/

Oder auch im aktuellen Full-Disclosure Newsletter - imho ziemlich fiese Sache. Gibt es dazu schon irgendwo ein Thema? Wenn ja, bitte mein löschen, hab aber nix gefunden.

Wie sieht es mit eventuell Bugfixes aus? Wie schätzt Ihr die GEfährlichkeit ein?
Zitat Full-Disclosure:
This exploit is already circulating, so I am posting a notice here.
There is a way to exploit IE's HTML rendering engine to render invalid
HTML code, embedded within a link. This can be used to bypass phpBB's
filtering system to cause a cross site scripting issue.

Firefox/Linux ist nicht betroffen.

[shwepsi]

O.O

das geht ja wirklich

*gar nicht lol findet*

[Domber]

Mein Bugfix wäre soweit erstmal:

Code: Alles auswählen

[URL]

Tag ausschalten bzw. auskommentieren. Was denkt Ihr? Wahrscheinlich kann man den Exploit dann noch umschreiben, aber zumindest nicht mehr mit dem

Code: Alles auswählen

[URL]

Tag

[kellanved]

Schachtelung von url-tags verbieten.

Der Reguläre Ausdruck wird dadurch aber nicht unbedingt performanter:

Code: Alles auswählen

"#\[url\]((www|ftp)\.(?![^ \"\n\r\t<]*?\[url)[^ \"\n\r\t<]*?)\[/url\]#is";

anstelle von:

Code: Alles auswählen

"#\[url\]((www|ftp)\.[^ \"\n\r\t<]*?)\[/url\]#is";

Für die anderen URL Patterns analog. Ist jedenfalls nur ein Schnellschuss und kein ernstgemeinter Fix.


Edit:
oder deutlich simpler:

Code: Alles auswählen

"#\[url\]((www|ftp)\.[^ \]\"\n\r\t<]*?)\[/url\]#is";

und

Code: Alles auswählen

"#\[url\]([\w]+?://[^ \]\"\n\r\t\]<]*?)\[/url\]#is";

Also die schliessende eckige Klammer in einfachen url-tags verbieten. Das sollte den Exploit ebenfalls abstellen.

[itst]

Ich bin sicher, die phpBB Group wird so schnell wie möglich einen Fix anbieten, sollte es nötig sein. Bis dahin raten wir davon ab, Lösungen von Dritten zu benutzen.