phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Diskussion zu phpBB 2.0.5 released

https://www.phpbb.de/community/viewtopic.php?t=137222

Seite 4 von 5

Verfasst: 18.06.2003 17:44
von itst
Solche Fragen bitte im passenden Forum (Installation & Update) posten.

Verfasst: 18.06.2003 18:05
von Henne
Balint hat geschrieben:Ich habe dieses Mal (ich bin mit dem Board seit 2.0.1 dabei) das Patchfile benutzt. Ich habe zwar keinen Zugriff auf den Unix-Befehl patch, konnte aber eine Win32-Portierung finden, die gut funktioniert hat. Ich bekomme von den veränderten Dateien ein *.orig und manchmal ein *.rej, in denen mißlungene Änderungen drin sind. Diese habe ich manuell nachgeprüft und verändert.
Kannst mal die Parameter angeben, die du verwendet hast.
Hast du sonst noch was geändert (im Vorfeld)?

Ich bin heute glaube ich zu blöd...

Verfasst: 18.06.2003 23:52
von Maggy
Wichtig

:evil: Ich habe mein Forum damals auf so ne komische Version aktualisiert wobei es 2.0.4 ist schaut mal selbst http://forum.oc-limbach.de meine Frage nun ist es möglich zu updaten aber das das Design das gleiche bleibt ?

Das Prob ist als ich auf die eigentliche Portalversion umgestellt habe welche ich auf www.phpbb2.de gedownloadet habe mussten selbst die datenbanken umgestellt werden und war viel arbeit war vorher und nachher angeblich 2.0.4

WER KANN MIR HELFEN?!
Kann ich Update vornehmen wenn ja wie.....

Maggy

Verfasst: 19.06.2003 00:22
von itst
itst hat geschrieben:Solche Fragen bitte im passenden Forum (Installation & Update) posten.

Verfasst: 19.06.2003 10:00
von Leuchte
Henne23 hat geschrieben:Kannst mal die Parameter angeben, die du verwendet hast.
Hast du sonst noch was geändert (im Vorfeld)?

Ich bin heute glaube ich zu blöd...
wenn ich mich nicht täusche stehen die doch in der install.htm
[...]With this done you should run the following command: patch -cl -d [PHPBB DIRECTORY] -p1 < [PATCH NAME] [...]

Verfasst: 20.06.2003 19:04
von hmueller
ACHTUNG:

offensichtlich Sicherheitslücke in phpBB 2.0.5


We've been informed that a possible SQL injection vulnerability has been released to various lists and sites. The issue is unlikely to affect many users given the requirements that surround it.
siehe http://www.phpbb.com/phpBB/viewtopic.ph ... 046#636046

Verfasst: 20.06.2003 19:35
von Dave
Also ich sage es mal so:

2.0.5 = Müll

Ich benutze 2.0.4 weiter. Die hälfte der sachen geht nicht auf 2.0.5 und man bekommt fehler ohne sinn und verstand. Selbst nachdem ich den Mod ausgebaut habe wo ich meine das der Fehler liegt geht es nicht mehr. :evil:

Verfasst: 20.06.2003 20:06
von Dave
stefan hat geschrieben:As Announced on www.phpbb.com:
We've been informed that a possible SQL injection vulnerability has been released to various lists and sites. The issue is unlikely to affect many users given the requirements that surround it.

The problem is easily fixed, open viewtopic.php and before:

Code: Alles auswählen

if ( isset($HTTP_GET_VARS[POST_TOPIC_URL]) ) 
{ 
      $topic_id = intval($HTTP_GET_VARS[POST_TOPIC_URL]); 
} 
else if ( isset($HTTP_GET_VARS['topic']) ) 
{ 
      $topic_id = intval($HTTP_GET_VARS['topic']); 
}
add:

Code: Alles auswählen

$topic_id = $post_id = false;
Scroll down and find:

Code: Alles auswählen

$join_sql_table = ( !isset($post_id) ) ? '' : ", " . POSTS_TABLE . " p, " . POSTS_TABLE . " p2 "; 
$join_sql = ( !isset($post_id) ) ? "t.topic_id = $topic_id" : "p.post_id = $post_id AND t.topic_id = p.topic_id AND p2.topic_id = p.topic_id AND p2.post_id <= $post_id"; 
$count_sql = ( !isset($post_id) ) ? '' : ", COUNT(p2.post_id) AS prev_posts"; 

$order_sql = ( !isset($post_id) ) ? '' : "GROUP BY p.post_id, t.topic_id, t.topic_title, t.topic_status, t.topic_replies, t.topic_time, t.topic_type, t.topic_vote, t.topic_last_post_id, f.forum_name, f.forum_status, f.forum_id, f.auth_view, f.auth_read, f.auth_post, f.auth_reply, f.auth_edit, f.auth_delete, f.auth_sticky, f.auth_announce, f.auth_pollcreate, f.auth_vote, f.auth_attachments ORDER BY p.post_id ASC";
Change that to:

Code: Alles auswählen

$join_sql_table = ( empty($post_id) ) ? '' : ", " . POSTS_TABLE . " p, " . POSTS_TABLE . " p2 "; 
$join_sql = ( empty($post_id) ) ? "t.topic_id = $topic_id" : "p.post_id = $post_id AND t.topic_id = p.topic_id AND p2.topic_id = p.topic_id AND p2.post_id <= $post_id"; 
$count_sql = ( empty($post_id) ) ? '' : ", COUNT(p2.post_id) AS prev_posts"; 

$order_sql = ( empty($post_id) ) ? '' : "GROUP BY p.post_id, t.topic_id, t.topic_title, t.topic_status, t.topic_replies, t.topic_time, t.topic_type, t.topic_vote, t.topic_last_post_id, f.forum_name, f.forum_status, f.forum_id, f.auth_view, f.auth_read, f.auth_post, f.auth_reply, f.auth_edit, f.auth_delete, f.auth_sticky, f.auth_announce, f.auth_pollcreate, f.auth_vote, f.auth_attachments ORDER BY p.post_id ASC";
I would like to add that (as now typical ...) we were given practically no time to fix this issue before it appeared on the web.

So habt ihr dann den Fehler in SQL behoben :wink:

~noch nicht getestet von mir~

Verfasst: 20.06.2003 21:31
von fussle
war gerade auf phpBB.com - wo finde ich den artikel ? hat mal jemand nen link ?

hab gerade ein wenig match in der birne

Verfasst: 20.06.2003 22:10
von enrico
vielleicht ein bißchen lesen:
http://www.phpbb.com/phpBB/viewtopic.ph ... 046#636046
:D

steht doch oben
Alle Zeiten sind UTC+02:00
Seite 4 von 5

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de