phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Sicherheitsloch in phpBB2 Plus und Categories Hierarchy

https://www.phpbb.de/community/viewtopic.php?t=44751

Seite 1 von 3

Sicherheitsloch in phpBB2 Plus und Categories Hierarchy

Verfasst: 08.01.2004 00:34
von PhilippK
Wichtiger Hinweis: wenn ihr die normale phpBB-Version verwendet (wie sie hier auf dieser Seite angeboten wird) und den Categories Hierarchy Mod nicht installiert habt, seit ihr von dem Problem nicht betroffen.

Nach dem es in der letzten Zeit ein paar Anfragen zu der Suchfunktion und geschützten (privaten) Foren gab, haben wir uns die Sache etwas genauer angesehen und ein Sicherheitsloch in
  • phpB2 Plus 1.3 und im
  • Categories Hierarchy Mod 2.0.5 [RC] (und vermutlich auch früheren Versionen)
gefunden.

Bei den genannten Mods werden private Foren (zumindest unter bestimmten Bedingungen) bei der Suche auch dann mit einbezogen, wenn der Benutzer keine ausreichenden Berechtigungen für ein Forum hat. Zwar ist der Topic selbst nicht zugänglich, jedoch lassen sich die ersten 1000 Zeichen des Beitrags einsehen, wenn nicht nach Themen sondern nach Beiträgen gesucht wird.

Hinweis:
Die Autoren der genannten Mods wurden vor mehr als 24 Stunden über das Sicherheitsloch informiert, eine Reaktion ging bislang nicht ein. Ein Fix für diesen Bug liegt derzeit nicht vor. Wenn ihr einen der genannten Mods verwendet, so müsst ihr davon ausgehen, dass eure privaten Foren über die Suche zugänglich sind. Die Original-Version von phpBB hat dieses Problem nicht - ggf. solltet ihr also den genannten Mod (zumindest vorläufig) entfernen.

Support:
Bei Anfragen zu den Sicherheitslöchern wendet euch bitte direkt an die Autoren unter http://www.phpbb2.de/ bzw. http://rpgnet.clanmckeen.com/demo/

Reproduktion des Sicherheitslochs:
Um das Sicherheitsloch nachvollziehen zu können, verfahrt bitte wie folgt:
  1. Installiert das Forum neu und baut ggf. den Mod ein
  2. Setzt die Befugnisse des Testforums auf 'Privat [Versteckt]'
  3. Erstellt einen neuen Beitrag in diesem Forum (und merkt euch ein Wort in diesem Beitrag)
  4. Meldet euch ab - ihr habt jetzt nur noch die Rechte eines Gastes
  5. Verwendet die Suche und sucht nach einem Wort des erstellten Beitrags. Stellt in der Suche ein, dass ihr nach Beiträgen suchen wollt und die ersten 1000 Zeichen angezeigt werden sollen
  6. Ihr erhaltet als Suchergebnis den Beitrag mit Inhalt - obwohl ihr diesen Beitrag nicht lesen können solltet
Gruß, Philipp

Verfasst: 11.01.2004 18:31
von gritzuhn
Ich setze das PHPBB Plus 1.3 ein und der Fehler tritt bei mir nicht auf?

Verfasst: 12.01.2004 00:15
von PhilippK
gritzuhn hat geschrieben:Ich setze das PHPBB Plus 1.3 ein und der Fehler tritt bei mir nicht auf?
Wenn du phpBB2 Plus 1.3 einsetzt, solltest du von dem Problem betroffen sein.

Gruß, Philipp

Verfasst: 13.01.2004 22:14
von dayiabi
ich habe es gerade ausprobiert als gast kan ich nur den topic sehen. wenn ich mit der maus anklicke um den beitrag zulesen bekomme ich Gib bitte deinen Benutzernamen und dein Passwort ein, um dich einzuloggen! diese meldung
ich finde das ist trozdem ein loch

Verfasst: 13.01.2004 23:32
von PhilippK
dayiabi hat geschrieben:ich habe es gerade ausprobiert als gast kan ich nur den topic sehen. wenn ich mit der maus anklicke um den beitrag zulesen bekomme ich Gib bitte deinen Benutzernamen und dein Passwort ein, um dich einzuloggen! diese meldung
ich finde das ist trozdem ein loch
Wenn du nun noch in der Suche unter 'Ergebnis anzeigen als:' die Option 'Beiträge' auswählst und unter 'Die ersten ... Zeichen des Beitrags anzeigen' 1000 auswählst, kommst du auch an den Inhalt ran :-)

Gruß, Philipp

Verfasst: 16.01.2004 00:31
von Marquee
Hi,

gibt's denn schon ne Lösung für das Problem?

Verfasst: 16.01.2004 09:40
von PhilippK
Marquee hat geschrieben:gibt's denn schon ne Lösung für das Problem?
Von den beiden Autoren liegt bislang keine Antwort vor - also gehe ich auch davon aus, dass es keine Lösung gibt (außer einem Deinstall)

Gruß, Philipp

RE

Verfasst: 19.01.2004 23:53
von rcbcom
Halo,
ich habe den Hack runter genommen, der gibt auch nur Fehlermeldung aus..und darum weg damit! Werde mal sehen ob ich eine andere Lösung fimde.

Verfasst: 20.01.2004 02:26
von Marquee
PhilippK hat geschrieben:Von den beiden Autoren liegt bislang keine Antwort vor - also gehe ich auch davon aus, dass es keine Lösung gibt (außer einem Deinstall)

Gruß, Philipp
:(

Deinstall ist immer so ne Sache.. speziell, da ich die Plus 1.3 nutze.. was ein Aufwand.. prüfen, welche Mods noch betroffen sind :( *keuch*

außerdem wär dann die ganze Ordnung in :( *heul*
rcbcom hat geschrieben:Halo,
ich habe den Hack runter genommen, der gibt auch nur Fehlermeldung aus..und darum weg damit!
hm?

Welchen Hack rausgenommen? Hierarchy?
rcbcom hat geschrieben:Werde mal sehen ob ich eine andere Lösung fimde.
Das ist ein Wort ;)

Ich harre der Dinge die da kommen mögen *g*

Danke :)

Verfasst: 20.01.2004 06:47
von Dave
mich wundert es gerade das ich den Categories hierarchy Version 2.0.4 habe und kein sicherheitsloch da ist :roll:

wenn jemand testen will: www.direwolfes.de
Alle Zeiten sind UTC+02:00
Seite 1 von 3

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de