phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Diskussion zu Mögliche XSS-Schwäche

https://www.phpbb.de/community/viewtopic.php?t=137230

Seite 3 von 4

Verfasst: 12.09.2003 13:45
von codemonkey
Also es wird gesagt, dass der Bug auch in 2.0.4 auftritt. Ist das nicht der Fall, sei froh.
Ich denke die phpBB Group veröffentlicht solche Bugfixes immer nur für de aktuellste Version (phpBB 2.0.6)

2.0.4

Verfasst: 12.09.2003 15:50
von Freedom
codemonkey hat geschrieben:Ja klar kann man das testen.
Poste in deinem Forum einfach mal diesen Code

Code: Alles auswählen

[url=http://www.phpBB.de" onclick="alert('Der Bug ist noch enthalten!!')]text[/url]
Wenn sich ein Java Script Fenster öffnet, ist der Bug noch drin, wenn wie hier bei uns der Code einfach hingeschrieben wird hat der einbau erfolgreich geklappt.

[url=http://www.phpBB.de" onclick="alert('Der Bug ist noch enthalten!!')]text[/url]
Diesem (template-unabhängigen, wie ich annehme) Test zufolge ist mein phpBB 2.0.4 nicht betroffen. Auch ohne diesen Patch öffnet sich kein JavaScript-Fenster, sondern der Code wird - wie hier - einfach hingeschrieben. Neben dem Mail-Bug ist das, glaube ich, schon die zweite schwere Sicherheitslücke, die in den neueren Versionen dazugekommen ist. Sie ist offenbar auch nicht ganz korrekt dokumentiert ("...which also affects 2.0.4...").

Zwei weitere hingegen wurden behoben (die kleinen Patches habe ich manuell upgedatet). Es steht somit 1:1. Allerdings wissen wir nicht, ob noch welche dazukommen, was meine Bereitschaft, auf 2.0.6 oder gar ein frühes 2.2 (sobald es herauskommt) zu aktualisieren, nicht gerade erhöht.

Dieser unbedingt empfehlenswerte Artikel
Wichtige Patches für phpBB
ist essenziell und gehört ganz an den Anfang von "Ankündigungen und Neuigkeiten" und nicht irgendwo versteckt in "phpBB 2.x at work" meiner bescheidenen Meinung nach.

Hoffentlich wird er von PhilppK aktuell gehalten.

Re: 2.0.4

Verfasst: 12.09.2003 19:37
von Acyd Burn
Neben dem Mail-Bug ist das, glaube ich, schon die zweite schwere Sicherheitslücke, die in den neueren Versionen dazugekommen ist.
Der Mail-Bug war keine Sicherheitslücke.

Verfasst: 13.09.2003 21:03
von spritzkuchen
Der Fix ist allerdings Käse, denn er bewirkt das auch korreckte Links ohne Javascript Code nicht mehr funktionieren, sobald leerzeichen enthalten sind.

Also zb. Zipfile funktioniert
aber
Zip File funktioniert nicht mehr

Verfasst: 13.09.2003 21:07
von Dwing
Besser als ein Sicherheitsleck, oder ?

Verfasst: 13.09.2003 21:50
von Acyd Burn
Leerzeichen sind in URL's sowieso nicht direkt erlaubt, dafür gibt es %20.

Test File

Und User meckern immer. Das Sicherheitsloch wurde blöderweise geöffnet (unwissentlich), da wir die BBCode funktionen für url erweitert haben, da sich einige user beschwert haben, das ihre urls (z.B. die für emule usw.) nicht funktionierten.
Man kann es nie jemandem Recht machen, so ist das nun einmal.

Ausserdem sollten die Leute, die Dateien mit Leerzeichen im Web speichern sowieso erschlagen werden (ich spreche hier als Linux Admin).

Verfasst: 13.09.2003 22:53
von Dwing
Acyd Burn hat geschrieben:Ausserdem sollten die Leute, die Dateien mit Leerzeichen im Web speichern sowieso erschlagen werden (ich spreche hier als Linux Admin).
Sollten sie IMHO weder unter Linux noch unter Windows...

Verfasst: 14.09.2003 00:08
von Freedom
Freedom hat geschrieben:
Acyd Burn hat geschrieben:Das Sicherheitsloch wurde blöderweise geöffnet (unwissentlich), da wir die BBCode funktionen für url erweitert haben, da sich einige user beschwert haben, das ihre urls (z.B. die für emule usw.) nicht funktionierten.
Nichts wie Ärger mit dem eMule-Schrott, stimmt's? Hauptsache, die gewinnen beim phpBB.de Community Contest!
Ausserdem sollten die Leute, die Dateien mit Leerzeichen im Web speichern sowieso erschlagen werden (ich spreche hier als Linux Admin).
Au! Na das war wohl ein übler Ausrutscher! Denk bitte daran, daß es Menschen gibt, die tun so etwas aus purer Unwissenheit und ohne böse Absicht. Auch Du bist nicht perfekt auf die Welt gekommen.

Verfasst: 14.09.2003 16:52
von Faser
Dwing hat geschrieben:
Acyd Burn hat geschrieben:Ausserdem sollten die Leute, die Dateien mit Leerzeichen im Web speichern sowieso erschlagen werden (ich spreche hier als Linux Admin).
Sollten sie IMHO weder unter Linux noch unter Windows...
Naja, auch wenn das bei MP3's garnicht schlecht ist...

Verfasst: 14.09.2003 20:25
von spritzkuchen
Dwing hat geschrieben:Besser als ein Sicherheitsleck, oder ?
Kommt drauf an, wenn man hunderte entsprechende Files hat und dann alles neu machen muss ist das auch nicht so prickelnd. Schliesslich hat das bisher ja auch funktioniert obwohl es nichts mit JavaCode zu tun hat und somit auch kein Sicherheitsleck darstellt.
Alle Zeiten sind UTC+02:00
Seite 3 von 4

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de