Verfasst: 19.12.2004 13:55
wird das problemmit diesem mod wirklich behoben? nicht das sich dadurch neue lücken auftuen???Gérome hat geschrieben:Sauber lösen kann dieses Problem tatsächlich nur der Hoster, indem er eine korrigierte Version von PHP installiert.
Und auch wenn es natürlich kein Problem von phpBB ist, kann man etwas machen, um den Fehler wenigstens etwas einzudämmen. Ich habe mich gestern früh fast über meine Tastatur erbrochen, als es mir auf Anhieb und dann wiederholt gelang, mittels dieses Exploits unsere DB-Zugangsdaten auszulesen.
Bis der Hoster unser PHP-Modul aktualisiert hat, habe ich mir damit beholfen, die Zugangsdaten so rasch wie möglich zu überschreiben. Die Daten werden ja nur einmalig benötigt und danach im Verlauf der Seitengenerierung nie wieder.
Folgendes habe ich gemacht:
Danach ist es mir nicht wieder gelungen, die Zugangsdaten auszuspähen. Diese Lösung ist alles andere als perfekt und mindert die Notwendigkeit, PHP zu aktualisieren nicht um das Geringste. Aber als 'quick and dirty'-Hack [ich möchte sowas nicht 'Mod' nennen] tat es bei uns seinen Zweck.Code: Alles auswählen
--- ÖFFNE --- ./includes/db.php -- FINDE --- // Make the database connection. $db = new sql_db($dbhost, $dbuser, $dbpasswd, $dbname, false); --- SETZTE DANACH EIN: --- $dbhost = 'aaaaaaaaaaaaaaaaaaaaaaaaa'; $dbuser = 'aaaaaaaaaaaaaaaaaaaaaaaaa'; $dbpasswd = 'aaaaaaaaaaaaaaaaaaaaaaaaa'; $dbhost = 'aaaaaaaaaaaaaaaaaaaaaaaaaaaa';
Grüße,
Gérome
