Moin,
siehe http://www.securityfocus.com/archive/1/438862
gibt es hiergegen einen Fix damit jemand hier nicht diese Errors bekommt, außer dass man evtl. error_reporting ausstellen kann - was man ja nun nicht unbedingt möchte.
Danke an die Php Experten !
M.f.G
Friedhelm
Kleiner Fix hier gegen vom phpbb Team ?
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Eine Neuinstallation von phpBB 2.0 wird auf phpBB.de nicht mehr unterstützt.
Siehe auch Entwicklungs-Ende von phpBB 2.0 - Auswirkungen auf phpBB.de
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Eine Neuinstallation von phpBB 2.0 wird auf phpBB.de nicht mehr unterstützt.
Siehe auch Entwicklungs-Ende von phpBB 2.0 - Auswirkungen auf phpBB.de
Diese verdammten Hacker..... 
finde:
davor füge ein:
Analog die Sache mit dem mode.
finde:
Code: Alles auswählen
$folder = htmlspecialchars($folder);Code: Alles auswählen
if (is_array($folder)) $folder = '';Gruss, Miriam.
Ich schmeiß' alles hin und...
... lasse es liegen
Ich schmeiß' alles hin und...
... lasse es liegen
-
Christian_W
- Ehemaliges Teammitglied
- Beiträge: 5703
- Registriert: 26.02.2004 00:09
Schalte doch einfach die Warnmeldungen ganz ab: Wenn Du mir jetzt noch sagst was daran so schlimm ist wenn der böse Cracker den vollen Pfad kennt...
Gruß Christian
Code: Alles auswählen
----- öffne -----
common.php
----- finde -----
error_reporting (E_ERROR | E_WARNING | E_PARSE); // This will NOT report uninitialized variables
----- ersetze mit ----
error_reporting (E_ERROR | E_PARSE); // This will NOT report uninitialized variablesGruß Christian
---
-
larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
ein path disclosure per se ist erst einmal kein angriffsvektor, allerdings in verbindung mit anderen schwachstellen (ala remote code upload via sql-blind injection etc.) durchaus für angreifer interessant.Wenn Du mir jetzt noch sagst was daran so schlimm ist wenn der böse Cracker den vollen Pfad kennt...
btw: imho sollte das error_reporting in produktiv systemen sowieso in eine entsprechende logdatei umgelenkt werden...
