Nach dem es in der letzten Zeit ein paar Anfragen zu der Suchfunktion und geschützten (privaten) Foren gab, haben wir uns die Sache etwas genauer angesehen und ein Sicherheitsloch in
- phpB2 Plus 1.3 und im
- Categories Hierarchy Mod 2.0.5 [RC] (und vermutlich auch früheren Versionen)
Bei den genannten Mods werden private Foren (zumindest unter bestimmten Bedingungen) bei der Suche auch dann mit einbezogen, wenn der Benutzer keine ausreichenden Berechtigungen für ein Forum hat. Zwar ist der Topic selbst nicht zugänglich, jedoch lassen sich die ersten 1000 Zeichen des Beitrags einsehen, wenn nicht nach Themen sondern nach Beiträgen gesucht wird.
Hinweis:
Die Autoren der genannten Mods wurden vor mehr als 24 Stunden über das Sicherheitsloch informiert, eine Reaktion ging bislang nicht ein. Ein Fix für diesen Bug liegt derzeit nicht vor. Wenn ihr einen der genannten Mods verwendet, so müsst ihr davon ausgehen, dass eure privaten Foren über die Suche zugänglich sind. Die Original-Version von phpBB hat dieses Problem nicht - ggf. solltet ihr also den genannten Mod (zumindest vorläufig) entfernen.
Support:
Bei Anfragen zu den Sicherheitslöchern wendet euch bitte direkt an die Autoren unter http://www.phpbb2.de/ bzw. http://rpgnet.clanmckeen.com/demo/
Reproduktion des Sicherheitslochs:
Um das Sicherheitsloch nachvollziehen zu können, verfahrt bitte wie folgt:
- Installiert das Forum neu und baut ggf. den Mod ein
- Setzt die Befugnisse des Testforums auf 'Privat [Versteckt]'
- Erstellt einen neuen Beitrag in diesem Forum (und merkt euch ein Wort in diesem Beitrag)
- Meldet euch ab - ihr habt jetzt nur noch die Rechte eines Gastes
- Verwendet die Suche und sucht nach einem Wort des erstellten Beitrags. Stellt in der Suche ein, dass ihr nach Beiträgen suchen wollt und die ersten 1000 Zeichen angezeigt werden sollen
- Ihr erhaltet als Suchergebnis den Beitrag mit Inhalt - obwohl ihr diesen Beitrag nicht lesen können solltet
