phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Sicherheitsloch in phpBB2 Plus und Categories Hierarchy

https://www.phpbb.de/community/viewtopic.php?t=44751

Seite 2 von 3

Verfasst: 20.01.2004 17:26
von Marquee
Dave hat geschrieben:wenn jemand testen will: www.direwolfes.de
Die URL ist nicht erreichbar :(

Verfasst: 20.01.2004 17:55
von Dave
richtig eingeben sollte ich sie :oops:


www.direwolves.de :wink:

Verfasst: 21.01.2004 23:43
von Marquee
Dave hat geschrieben:richtig eingeben sollte ich sie :oops:


www.direwolves.de :wink:
*lacht*

hmm... hast Du ein verstecktes Forum? Wenn ja, konnt ich's nicht sehen... scheint, als würde der Bug bei Dir nicht greifen :(

Bei mir schon :(

Restrict Guest Access

Verfasst: 22.01.2004 00:42
von rcbcom
Reproduktion des Sicherheitslochs:
Um das Sicherheitsloch nachvollziehen zu können, verfahrt bitte wie folgt:
Installiert das Forum neu und baut ggf. den Mod ein

Setzt die Befugnisse des Testforums auf 'Privat [Versteckt]'

Erstellt einen neuen Beitrag in diesem Forum (und merkt euch ein Wort in diesem Beitrag)

Meldet euch ab - ihr habt jetzt nur noch die Rechte eines Gastes

Verwendet die Suche und sucht nach einem Wort des erstellten Beitrags. Stellt in der Suche ein, dass ihr nach Beiträgen suchen wollt und die ersten 1000 Zeichen angezeigt werden sollen

Ihr erhaltet als Suchergebnis den Beitrag mit Inhalt - obwohl ihr diesen Beitrag nicht lesen können solltet
Hallo ich habe mal folgenden Mod's"Restrict Guest Access" installiert.
Beschreibung des Mod's:

Code: Alles auswählen

This hack denies guests access to member profiles, usergroups, memberlist, search, staff pages and hides the personal information displayed at the bottom of posts.
So wenn ich auf meine HP als Gast auf Suchen gehen, dann bekomme ich die Benutzername und Passwort eingabe.
So kann kein Gast auf das Forum bzw. auf die Beitäge schauen.Also ist das doch schon mal ein schutz für ein Privates-Forum ;)
zu finden den Mod
hier

PS: Und das kommt wenn man sich als Benutzer anmeldet und versucht auf Suchen zu gehen aber auf dem Thema haben nur Mods zugang!
Sie haben nicht die Berechtigung, dieses Forum zu durchsuchen.

Verfasst: 22.01.2004 22:24
von Ptirhiik
Bravo ! You just mention possible bugs (not confirmed btw) on a version not released yet here at phpbb.de :lol:. Hey, you didn't figure there is a developpement thread at 1-phpbb.com, 2-reporting bugs to everyone but the author is of a lot of use (at least you could have done @ the demo board and @ phpbb.com which is obviously the good place), 3-that mentioning categories hierarchy may not be the very smart as it isn't involved there :lol:. Really, well, do as you want btw. Anyway, more serious job stands out there, bye :).

Verfasst: 22.01.2004 22:51
von Marquee
hmm.. was will uns das jetzt sagen?

Verfasst: 22.01.2004 22:54
von Lucas1510
  • Reproduktion des Sicherheitslochs:
    Um das Sicherheitsloch nachvollziehen zu können, verfahrt bitte wie folgt:
    Installiert das Forum neu und baut ggf. den Mod ein
    Setzt die Befugnisse des Testforums auf 'Privat [Versteckt]'
    Erstellt einen neuen Beitrag in diesem Forum (und merkt euch ein Wort in diesem Beitrag)
    Meldet euch ab - ihr habt jetzt nur noch die Rechte eines Gastes
    Verwendet die Suche und sucht nach einem Wort des erstellten Beitrags. Stellt in der Suche ein, dass ihr nach Beiträgen suchen wollt und die ersten 1000 Zeichen angezeigt werden sollen
    Ihr erhaltet als Suchergebnis den Beitrag mit Inhalt - obwohl ihr diesen Beitrag nicht lesen können solltet
Habe ich gemacht. Aber das funzt nicht.
Dave hat geschrieben:mich wundert es gerade das ich den Categories hierarchy Version 2.0.4 habe und kein sicherheitsloch da ist :roll:
Ich nutze phpbb2.0.6 und auch Categories hierarchy Version 2.0.4 und da scheint dieser Bug nicht vorhanden bzw. nachvollziehabr zu sein :roll:

Davon ab ist der Categories hierarchy 2.0.5-Hack ein [RC], wer den in ein bestehendes Board einbaut, muss damit rechnen, daß es Fehler gibt. Steht bei phpBB.com ja auch:
MOD Beta Development
A place for MOD-Authors to post 'beta' MOD's. (No Code Within This Forum Should Be Used Within A Live Environment!)
@PhilippK
Trotzdem danke für den Hinweis :grin: Ist ja schliesslich das eine oder andere mal doch recht verlocken, Betas in ein Board einzubauen.

Kann mal bitte wer übersetzen was Ptirhiik geschrieben hat? Ich verstehe leider nicht alles :(

Verfasst: 22.01.2004 23:13
von itst
Ptirhiik hat geschrieben:Bravo ! You just mention possible bugs (not confirmed btw) on a version not released yet here at phpbb.de :lol:. Hey, you didn't figure there is a developpement thread at 1-phpbb.com, 2-reporting bugs to everyone but the author is of a lot of use (at least you could have done @ the demo board and @ phpbb.com which is obviously the good place), 3-that mentioning categories hierarchy may not be the very smart as it isn't involved there :lol:. Really, well, do as you want btw. Anyway, more serious job stands out there, bye :).
Authors (you?) were informed by e-mail, as were the phpBB Plus authors. After 7 days - without any reaction - we published this bug. As of our knowledge this bug lays in Categories Hierarchy. If you feel it is a bug in phpBB Plus talk to them, not to us.

Maybe phpBB Plus authors use the RC version 2.0.5? We don't know. But what we know is that it is possible to read posts from private forums via the search function.

Don't get me wrong, we didn't intend to harm anyone. But from our perspective this is a bug in a released pre modded phpBB using your C-H hack.

Verfasst: 23.01.2004 00:40
von PhilippK
Ptirhiik hat geschrieben:Bravo ! You just mention possible bugs (not confirmed btw) on a version not released yet here at phpbb.de :lol:. Hey, you didn't figure there is a developpement thread at 1-phpbb.com, 2-reporting bugs to everyone but the author is of a lot of use (at least you could have done @ the demo board and @ phpbb.com which is obviously the good place), 3-that mentioning categories hierarchy may not be the very smart as it isn't involved there :lol:. Really, well, do as you want btw. Anyway, more serious job stands out there, bye :).
Well, I think there's a need to make some things clear:
  • there is only one way to report security related issues: by mail. This may give the author the chance to react to the issue (and maybe fix it) before it's made public.
  • You were informed by mail (Recipient: ptirhiik (at) clanmckeen (dot) com; Subject: "Security hole in Categories hierarchy 2.0.5 (and earlier versions) - Posts in private forums accessible by search"; Importance: 'high' at 2004-01-06 6:10 pm.
  • Getting no reaction to this mail, the only conclusion I can draw is that the author is not interested in fixing this bug.
  • I did some additional testing: categories hierarchy 2.0.4 is affected by this bug as well as the other versions mentioned. In addition this bug was confirmed by several users (see next bullet) and other members of phpBB.de support team.
  • Why we posted it here: we got some inquiries about search related issues the days before - which had their origin at the bug mentioned. Our job is to inform our visitors that there may be security related issues - and not to get these fixed.
Philipp

Mod deinstallieren?

Verfasst: 28.01.2004 09:50
von Ali1598
Hi,

wie kann man ein Mod deinstalliern,
wenn ich auf Mod-Datenbank klicke und
ein Modul lösche erscheint es immer noch
im Forum.

Wie muss man da genau vorgehen?
Der Hintergrund ist, dass wenn ich im
"Mitarbeiter" bin auch als normaler User
die versteckten privaten Bereiche sehe.

Daher will ich dieses Mod entfernen

Vielen Dank
Ali
Alle Zeiten sind UTC+02:00
Seite 2 von 3

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de