phpBB.de

Moin allerseits,

folgendes Problem:
Wird ein im Forum hochgeladenes Bild/Dokument angeklickt, erscheint die attach_id des Bildes in der Browserzeile. In meinem Forum von 1 bis aktuell 7772. Die ids werden aufsteigend vergeben. Zu finden in der db unter phpbb_attachments.

Ändere ich jetzt in der Browserzeile manuell die id, wird das entsprechende Bild dazu angezeigt. Soweit, so gut. Das Problem ist, daß so aber auch Bilder angezeigt werden, die in PMs verschickt wurden. Nicht nur Bilder, auch Dokumente aller gängigen Formate.
Jeder x-beliebige user hat so die Möglichkeit, für sie nicht bestimmte Dateianhänge, die sich z.B. Admin und Mods oder user A und B zuschicken, aufzurufen.

Jetzt die Frage, wie kann ich das unterbinden?

nutzt du 3.0.0?
ich meine mich dunkel zu erinnern, das ich gelesen hab, diese sache wäre im update auf 3.0.1 behoben...


ob das nun wirklich so ist, weiß ich nicht...

Nein, ich habe noch nicht auf 3.0.1 geupdated.
Ich schätze, viele andere auch noch nicht, deswegen wundere ich mich etwas über die nicht vorhandene Reaktion auf diese Problematik.

Es handelt sich dabei sckließlich um sowas, wie eine Sicherheitslücke.

Caligula hat geschrieben: Es handelt sich dabei sckließlich um sowas, wie eine Sicherheitslücke.

Wohl deshalb wird auch immer empfohlen, die Updates zu machen.

Führe das Update durch, das ist der einzige sinnvolle Rat, den man Dir geben kann.

Die Sicherheitslücke besteht auch in PhpBB3.0.1. Ich habe von vorn herein diese Version installiert und das Problem besteht auch in meinem Board. Allerdings habe ich kein Problem damit. Von mir aus dürfen alle User alle Bilder verwenden, die hochgeladen sind. Ich kontrolliere nur wer hochladen darf. Aber die bisherigen Antworten sind nicht zielführend und daher falsch. Ein Update auf PhpBB3.0.1 behebt das Problem nicht. (und ich weiß auch nicht wie man das Problem lösen kann.)

@friedels-home

O.T an
Sicherheitslücke ist ein mächtiges Wort für ein Bug.

Die einzige wirkliche Sicherheitslücke sehe ich, wenn man nicht die empfohlenen Foren-Updates durchführt.

Aber ich will das nicht diskutieren, das soll jeder machen, wie er will. Nur schön die Klappe halten, wenn das Forum mal wirklich wegen fehlender Updates gehackt wurde.

Aber die bisherigen Antworten sind nicht zielführend und daher falsch.

Ich hoffe, Du verstehst Deine Aussage, ich nicht. Nur weil Antworten nicht sofort zum Ziel führen, sind sie noch lange nicht falsch.



O.T aus.

Spaß muss sein.

Dakota hat geschrieben:nutzt du 3.0.0?
ich meine mich dunkel zu erinnern, das ich gelesen hab, diese sache wäre im update auf 3.0.1 behoben...

Dachte auch, das dies kein Thema mehr wäre.

Aber dazu werden sich bestimmt die Supporter oder Moderatoren des Forums äußern, denke ich mal.

Es handelte sich in der Tat um eine Sicherheitslücke. Würde die Lücke allerdings weiterhin in 3.0.1 bestehen, wäre 3.0.2 schon lange drausen.

Die Sicherheitslücke wurde in 3.0.1 geschlossen.

phpBB 3.0.1 released hat geschrieben:[Sec] Limit private message attachments to be viewable only by the recipient(s)/sender (Report #s23535) - reported by AlleyKat

Also Updaten!

Schritt-für-Schritt Updateanleitung für phpBB3 (Olympus)

Edit: Sollte das Problem in 3.0.1 tatsächlich weiter bestehen, erstell doch bitte ein Ticket im Security Tracker.

friedels-home hat geschrieben:Die Sicherheitslücke besteht auch in PhpBB3.0.1. Ich habe von vorn herein diese Version installiert und das Problem besteht auch in meinem Board. Allerdings habe ich kein Problem damit. Von mir aus dürfen alle User alle Bilder verwenden, die hochgeladen sind. Ich kontrolliere nur wer hochladen darf. Aber die bisherigen Antworten sind nicht zielführend und daher falsch. Ein Update auf PhpBB3.0.1 behebt das Problem nicht. (und ich weiß auch nicht wie man das Problem lösen kann.)

Es ist in 3.0.1 behoben (habs gerade auch noch mal getestet). Wenn es bei dir auftritt, dann schlage ich vor, das du mal schaust warum das so ist (denke daran, die Anhänge die du bekommen hast oder die du verschickt hast kannst du einsehen). Ansonsten... Security Tracker