phpBB.de

Fähnchen hat geschrieben:

oxpus hat geschrieben:Die admin_db_utilities.php wurde mit dem Update nicht berücksichtigt...

Was heisst das jetzt im Klartext wenn ich fragen darf?
Sind noch irgendwelche Anpassungen notwendig?

Das heisst diese Sicherheitslücke besteht wohl weiterhin.

fanrpg hat geschrieben:Das heisst diese Sicherheitslücke besteht wohl weiterhin.

Okay, dann sollte also jeder den folgenden Fix verwenden?
http://www.phpbb.de/viewtopic.php?p=697332#697332

... oder besser die Datei gleich ganz löschen, da diese ab einem Gewissen Umfang der Datenbank eh nicht mehr fehlerfrei arbeitet ...

oxpus hat geschrieben:... oder besser die Datei gleich ganz löschen, da diese ab einem Gewissen Umfang der Datenbank eh nicht mehr fehlerfrei arbeitet ...

so habe ichs auch gemacht. bringt eh nix wenn es bei größeren dbs nicht mehr läuft.

Habe ich jetzt auch gelöscht.
Ich benutze eh andere Tools für Datenbank-Wartung und Backup.

Und wie sieht das jetzt aus mit Avataren, Änderung des Cookie-Namen und den Änderungen an der common.php? Den Hotfix habe ich eingebaut und den Cookie-Namen geändert, aber Avatare ganz deaktivieren fände ich traurig, nur weil jemand mal auf die Idee kommen könnte ins Board einzudringen.

Ausserdem kommt eh noch der CrackerTracker bei mir rein beizeiten.

Ich kann mir irgendwie keines der Pakete downloaden (Patchfile .tar.gz und .zip, Code-Changes .zip) .

MfG
Dominic Laumer

Coaster-Friend hat geschrieben:Ich kann mir irgendwie keines der Pakete downloaden (Patchfile .tar.gz und .zip, Code-Changes .zip) .

MfG
Dominic Laumer

Es brauch immer etwas Zeit, bis eine neue Version auf allen Servern von Sourceforge bereit stehen. Daher bietet phpBB.com auch einen Mirror, der direkt auf phpBB.com liegt an.
http://www.phpbb.com/downloads.php (unter (Mirrored) phpBB 2.0.21 :: 7th June 2006)

Mihil hat geschrieben:Dann werde ich mich auch mal ans Updaten machen...

Wurde das auch gefixt?

Ja, das wurde behoben. Der Exploit war zwar über die DB-Utilities, der Bug war aber anderweitig anzusiedeln. (dieser Exploit war ohnehin recht verquer: brauchte einen gültigen Adminsessionschlüssel und der Angreifer mußte aus dem gleichem Subnetz wie der Admin kommen)

Dachte ich auch schon. Bei dem Exploit ging es darum, dass man durch die Avatare an die Session-ID kommt. Und in der user_avatar.php wurde da ja was geändert...

Mihil hat geschrieben:Dachte ich auch schon. Bei dem Exploit ging es darum, dass man durch die Avatare an die Session-ID kommt. Und in der user_avatar.php wurde da ja was geändert...

Jaein; das eigentliche Problem war die Verwendung der default_language Variablen und das Sessionsystem
Das Avatarproblem an sich ist nicht zu beseitigen - jede Software mit Uploadfunktion hat das Problem (ohne jetzt zuviel zu sagen); phpBB macht mehr als die meisten.