Die URL ist nicht erreichbarDave hat geschrieben:wenn jemand testen will: www.direwolfes.de
Sicherheitsloch in phpBB2 Plus und Categories Hierarchy
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Restrict Guest Access
Hallo ich habe mal folgenden Mod's"Restrict Guest Access" installiert.Reproduktion des Sicherheitslochs:
Um das Sicherheitsloch nachvollziehen zu können, verfahrt bitte wie folgt:
Installiert das Forum neu und baut ggf. den Mod ein
Setzt die Befugnisse des Testforums auf 'Privat [Versteckt]'
Erstellt einen neuen Beitrag in diesem Forum (und merkt euch ein Wort in diesem Beitrag)
Meldet euch ab - ihr habt jetzt nur noch die Rechte eines Gastes
Verwendet die Suche und sucht nach einem Wort des erstellten Beitrags. Stellt in der Suche ein, dass ihr nach Beiträgen suchen wollt und die ersten 1000 Zeichen angezeigt werden sollen
Ihr erhaltet als Suchergebnis den Beitrag mit Inhalt - obwohl ihr diesen Beitrag nicht lesen können solltet
Beschreibung des Mod's:
Code: Alles auswählen
This hack denies guests access to member profiles, usergroups, memberlist, search, staff pages and hides the personal information displayed at the bottom of posts.So kann kein Gast auf das Forum bzw. auf die Beitäge schauen.Also ist das doch schon mal ein schutz für ein Privates-Forum
zu finden den Mod
hier
PS: Und das kommt wenn man sich als Benutzer anmeldet und versucht auf Suchen zu gehen aber auf dem Thema haben nur Mods zugang!
Sie haben nicht die Berechtigung, dieses Forum zu durchsuchen.
Bravo ! You just mention possible bugs (not confirmed btw) on a version not released yet here at phpbb.de 
. Hey, you didn't figure there is a developpement thread at 1-phpbb.com, 2-reporting bugs to everyone but the author is of a lot of use (at least you could have done @ the demo board and @ phpbb.com which is obviously the good place), 3-that mentioning categories hierarchy may not be the very smart as it isn't involved there . Really, well, do as you want btw. Anyway, more serious job stands out there, bye 
.
. Hey, you didn't figure there is a developpement thread at 1-phpbb.com, 2-reporting bugs to everyone but the author is of a lot of use (at least you could have done @ the demo board and @ phpbb.com which is obviously the good place), 3-that mentioning categories hierarchy may not be the very smart as it isn't involved there . Really, well, do as you want btw. Anyway, more serious job stands out there, bye .
- Reproduktion des Sicherheitslochs:
Um das Sicherheitsloch nachvollziehen zu können, verfahrt bitte wie folgt:
Installiert das Forum neu und baut ggf. den Mod ein
Setzt die Befugnisse des Testforums auf 'Privat [Versteckt]'
Erstellt einen neuen Beitrag in diesem Forum (und merkt euch ein Wort in diesem Beitrag)
Meldet euch ab - ihr habt jetzt nur noch die Rechte eines Gastes
Verwendet die Suche und sucht nach einem Wort des erstellten Beitrags. Stellt in der Suche ein, dass ihr nach Beiträgen suchen wollt und die ersten 1000 Zeichen angezeigt werden sollen
Ihr erhaltet als Suchergebnis den Beitrag mit Inhalt - obwohl ihr diesen Beitrag nicht lesen können solltet
Ich nutze phpbb2.0.6 und auch Categories hierarchy Version 2.0.4 und da scheint dieser Bug nicht vorhanden bzw. nachvollziehabr zu seinDave hat geschrieben:mich wundert es gerade das ich den Categories hierarchy Version 2.0.4 habe und kein sicherheitsloch da ist
Davon ab ist der Categories hierarchy 2.0.5-Hack ein [RC], wer den in ein bestehendes Board einbaut, muss damit rechnen, daß es Fehler gibt. Steht bei phpBB.com ja auch:
@PhilippKMOD Beta Development
A place for MOD-Authors to post 'beta' MOD's. (No Code Within This Forum Should Be Used Within A Live Environment!)
Trotzdem danke für den Hinweis
Ist ja schliesslich das eine oder andere mal doch recht verlocken, Betas in ein Board einzubauen.Kann mal bitte wer übersetzen was Ptirhiik geschrieben hat? Ich verstehe leider nicht alles
"Nein, Schatz, Du bist nicht dumm. Du bist sogar sehr hübsch!"
-
itst
- Ehrenadmin
- Beiträge: 7418
- Registriert: 21.08.2001 02:00
- Wohnort: Büttelborn bei Darmstadt
- Kontaktdaten:
Authors (you?) were informed by e-mail, as were the phpBB Plus authors. After 7 days - without any reaction - we published this bug. As of our knowledge this bug lays in Categories Hierarchy. If you feel it is a bug in phpBB Plus talk to them, not to us.Ptirhiik hat geschrieben:Bravo ! You just mention possible bugs (not confirmed btw) on a version not released yet here at phpbb.de
Maybe phpBB Plus authors use the RC version 2.0.5? We don't know. But what we know is that it is possible to read posts from private forums via the search function.
Don't get me wrong, we didn't intend to harm anyone. But from our perspective this is a bug in a released pre modded phpBB using your C-H hack.
Sascha A. Carlin,
phpBB.de Ehrenadministrator
phpBB.de Ehrenadministrator
Well, I think there's a need to make some things clear:Ptirhiik hat geschrieben:Bravo ! You just mention possible bugs (not confirmed btw) on a version not released yet here at phpbb.de
- there is only one way to report security related issues: by mail. This may give the author the chance to react to the issue (and maybe fix it) before it's made public.
- You were informed by mail (Recipient: ptirhiik (at) clanmckeen (dot) com; Subject: "Security hole in Categories hierarchy 2.0.5 (and earlier versions) - Posts in private forums accessible by search"; Importance: 'high' at 2004-01-06 6:10 pm.
- Getting no reaction to this mail, the only conclusion I can draw is that the author is not interested in fixing this bug.
- I did some additional testing: categories hierarchy 2.0.4 is affected by this bug as well as the other versions mentioned. In addition this bug was confirmed by several users (see next bullet) and other members of phpBB.de support team.
- Why we posted it here: we got some inquiries about search related issues the days before - which had their origin at the bug mentioned. Our job is to inform our visitors that there may be security related issues - and not to get these fixed.
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Mod deinstallieren?
Hi,
wie kann man ein Mod deinstalliern,
wenn ich auf Mod-Datenbank klicke und
ein Modul lösche erscheint es immer noch
im Forum.
Wie muss man da genau vorgehen?
Der Hintergrund ist, dass wenn ich im
"Mitarbeiter" bin auch als normaler User
die versteckten privaten Bereiche sehe.
Daher will ich dieses Mod entfernen
Vielen Dank
Ali
wie kann man ein Mod deinstalliern,
wenn ich auf Mod-Datenbank klicke und
ein Modul lösche erscheint es immer noch
im Forum.
Wie muss man da genau vorgehen?
Der Hintergrund ist, dass wenn ich im
"Mitarbeiter" bin auch als normaler User
die versteckten privaten Bereiche sehe.
Daher will ich dieses Mod entfernen
Vielen Dank
Ali
