Seite 1 von 3
2.0.8: Sicherheitsfix für privmsg.php
Verfasst: 28.03.2004 21:37
von PhilippK
In der
privmsg.php ist ein Fehler, der es einem böswilligen Benutzer unter bestimmten Bedingungen ermöglicht, SQL-Befehle zu manipulieren oder zu ändern. Um dieses Problem zu beseitigen, führt bitte folgende Änderung an der
privmsg.php durch:
Sucht nach
Code: Alles auswählen
$pm_sql_user .= "AND ( ( pm.privmsgs_to_userid = " . $userdata['user_id'] . "
und ersetzt es durch
Code: Alles auswählen
$pm_sql_user = "AND ( ( pm.privmsgs_to_userid = " . $userdata['user_id'] . "
(Hinweis: die einzige Änderung besteht in der Entfernung des Punktes nach $pm_sql_user)
Von diesem Fix können auch ältere Versionen von phpBB betroffen sein, es ist daher zu empfehlen, auf die aktuelle Version von phpBB upzudaten und die oben genannte Änderung durchzuführen. Die englische Version (2.0.8a) ist in der Zwischenzeit korrigiert, die deutsche folgt.
Offizielle Ankündigung der phpBB Group
Gruß, Philipp
Re: 2.0.8: Sicherheitsfix für privmsg.php
Verfasst: 30.03.2004 21:39
von marcel-stein
PhilippK hat geschrieben:In der
privmsg.php ist ein Fehler, der es einem böswilligen Benutzer unter bestimmten Bedingungen ermöglicht, SQL-Befehle zu manipulieren oder zu ändern. Um dieses Problem zu beseitigen, führt bitte folgende Änderung an der
privmsg.php durch:
Sucht nach
Code: Alles auswählen
$pm_sql_user .= "AND ( ( pm.privmsgs_to_userid = " . $userdata['user_id'] . "
und ersetzt es durch
Code: Alles auswählen
$pm_sql_user = "AND ( ( pm.privmsgs_to_userid = " . $userdata['user_id'] . "
(Hinweis: die einzige Änderung besteht in der Entfernung des Punktes nach $pm_sql_user)
Von diesem Fix können auch ältere Versionen von phpBB betroffen sein, es ist daher zu empfehlen, auf die aktuelle Version von phpBB upzudaten und die oben genannte Änderung durchzuführen. Die englische Version (2.0.8a) ist in der Zwischenzeit korrigiert, die deutsche folgt.
Offizielle Ankündigung der phpBB Group
Gruß, Philipp
Und wann folgt die deutsche Version 2.08a?
Verfasst: 30.03.2004 22:01
von Henne
Den kleinen Fix kannst doch schnell per Hand einfügen...
Hat ja nix mit der Sprache zu tun...
Verfasst: 13.04.2004 11:37
von sandokan
Sehe ich das richtig, dass dies die einzige Änderung von Version 2.0.8 auf 2.0.8a ist ?
Verfasst: 13.04.2004 17:12
von PhilippK
Jepp - das ist die einzige Änderung.
Gruß, Philipp
Verfasst: 13.04.2004 17:40
von marcel-stein
PhilippK hat geschrieben:Jepp - das ist die einzige Änderung.
Gruß, Philipp
und dafür wird gleich ein eingedeutschtes paket gemacht. ist das wirklich die einzige änderung? oder lohnt sich die sprache zu erneuern?
ist in absehbarer Zeit ein weiteres Update geplant?
Verfasst: 13.04.2004 17:58
von PhilippK
Nun, das deutsche Paket wurde eben auch auf die 2.0.8 aktualisiert
Ob/wann was neues kommt, ist unbekannt - explizit ist für die 2.0.x nichts mehr geplant, aber Sicherheitslöcher treten halt nicht immer so auf, wie geplant
Gruß, Philipp
Verfasst: 13.04.2004 18:05
von marcel-stein
PhilippK hat geschrieben:Nun, das deutsche Paket wurde eben auch auf die 2.0.8 aktualisiert
Ob/wann was neues kommt, ist unbekannt - explizit ist für die 2.0.x nichts mehr geplant, aber Sicherheitslöcher treten halt nicht immer so auf, wie geplant
Gruß, Philipp
steht nach dem Update auch 2.0.8a da?
Verfasst: 13.04.2004 18:12
von itst
Nein, denn diese Bezeichnung spiegelt den Patchlevel eines Patchlevels wieder, und so perfektionistisch muss es für den Benutzer ja nicht sein
Verfasst: 13.04.2004 19:03
von sandokan
itst hat geschrieben:Nein, denn diese Bezeichnung spiegelt den Patchlevel eines Patchlevels wieder, und so perfektionistisch muss es für den Benutzer ja nicht sein
Steht bei mir aber drin
