Nickpage Bilder-Upload -> Sicherheitslücke

Du hast Probleme beim Einbau oder bei der Benutzung eines Mods? In diesem Forum bist du richtig.
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.0, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Antworten
klunzen
Mitglied
Beiträge: 341
Registriert: 01.07.2004 01:29

Nickpage Bilder-Upload -> Sicherheitslücke

Beitrag von klunzen »

:eek: da sieht man dann doch, dass die nickpage nicht weiter geupdated wird :( :evil:

beim bilder-upload wird bisher die größe nicht überprüft.
#
#-----[ OPEN ]------------------------------------------------------------------
#

\nickpage_admin.php


#
#-----[ FIND ]---------------------------------------------------
#

if(isset($HTTP_POST_FILES['pic']['tmp_name']) AND $HTTP_POST_FILES['pic']['name'] != "")

#
#-----[ REPLACE WITH ]------------------------------------------------------------
#

if((isset($HTTP_POST_FILES['pic']['tmp_name'])) AND ($HTTP_POST_FILES['pic']['name'] != "") AND ($_FILES['pic']['size'] > 0))
es gibt 2 fundstellen im quelltext! also 2 mal suchen
Nach oben
klunzen
Mitglied
Beiträge: 341
Registriert: 01.07.2004 01:29

Beitrag von klunzen »

edit:

das ganze sollte doch eher so aus sehen:
#
#-----[ OPEN ]------------------------------------------------------------------
#

\nickpage_admin.php


#
#-----[ FIND ]---------------------------------------------------
#

if(isset($HTTP_POST_FILES['pic']['tmp_name']) AND $HTTP_POST_FILES['pic']['name'] != "")

#
#-----[ REPLACE WITH ]------------------------------------------------------------
#

// --------------------------------
// Check for bad image
// ---------------------------
$filetmp = $HTTP_POST_FILES['pic']['tmp_name'];
$pic_size = @getimagesize($filetmp);
$pic_width = $pic_size[0];
$pic_height = $pic_size[1];

if (!$pic_width || !$pic_height)
{
message_die(GENERAL_ERROR, 'Das hochzuladene Bild ist unlesbar.', '', '', '', '');
}

if((isset($HTTP_POST_FILES['pic']['tmp_name'])) AND ($HTTP_POST_FILES['pic']['name'] != "") AND ($_FILES['pic']['size'] > 0))
Nach oben
hackepeter13
Valued Contributor
Beiträge: 3545
Registriert: 21.04.2004 12:22
Wohnort: Berlin
Kontaktdaten:
Kontaktdaten von hackepeter13

Beitrag von hackepeter13 »

Das der Nickpage-Mod nicht mehr supported wird, steht ja nun schon seit über 2 Jahren oder so fest :lol:

Aber wo wird jetzt die Größe definiert, ich mein im ACP kann man in den Nickpage-Einstellungen Breite, Höhe und KB- Größe für die Bilder angeben.

Und auf welche Größe überprüft dein Script die Bilder?
Ich mein irgendwo müssen doch Zahlen angeben sein, bis zu welcher Größe ein Bild sein darf.

Und wieso ist es eine Sicherheitslücke, nur weil man z.B. ein Bild von beispielsweise 5000x3000 einfügen kann?

Eine genauere Erklärung wäre nicht schlecht!
Nach oben
klunzen
Mitglied
Beiträge: 341
Registriert: 01.07.2004 01:29

Beitrag von klunzen »

das der mod nicht weiterentwickelt wird ist mir klar. finde es schade.
deshalb habe ich ja auch das mit dem bilder-upload bemerkt und hier rein gepostet.


mit

Code: Alles auswählen

if (!$pic_width || !$pic_height)
wird geprüft ob es sich nicht um ein korruptes bild handelt. also ob auch werte gesetzt sind.


die dateigröße wird mit

Code: Alles auswählen

... AND ($_FILES['pic']['size'] > 0))
geprüft.


die größe der bilder wird im quelltext festgelegt:

Code: Alles auswählen

			//maximale Abmessungen und GRöße
			$breitemax = 800;
			$hoehemax = 640;
			$groessemax = 200; //in KB (KiloByte)
warum auch immer...
Nach oben
Antworten

Zurück zu „phpBB 2.0: Mod Support“