phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

bezüglich: "Sicherheitslücke in PHP betrifft auch phpBB

https://www.phpbb.de/community/viewtopic.php?t=73413

Seite 1 von 1

bezüglich: "Sicherheitslücke in PHP betrifft auch phpBB

Verfasst: 21.12.2004 10:27
von achiboy
Danke für den Hinweis auf der Seite:
http://www.phpbb.de/viewtopic.php?t=73199

Besteht das Problem auch, wenn man wie bei "So mache ich mein Board sicher" denn folgenden Tip befolgt?
Eventuell habt ihr auch die Möglichkeit, die config.php außerhalb des Web-Ordners abzulegen, so dass Sie nicht über eine URL zu erreichen ist (wenn Sie auch nicht per FTP zugänglich sein soll, so benötigt ihr in aller Regel die Unterstützung eures Providers). Dazu verschiebt ihr die Datei in einen Ordner außerhalb des Web-Ordners und erstellt im PHP-Verzeichnis eine neue config.php mit folgendem Inhalt:
Code:
<?php
require('/directory/config.php');
?>
Dabei müsst ihr die Pfadangabe entsprechend anpassen.

Verfasst: 21.12.2004 11:10
von marino
die oben erwähnten sicherheitslücken betreffen php selber und können nur mit den dafür vorgesehenen patches geschlossen werden ..solltest du keinen eignen webserver haben, auf welchen das forum liegt, sondern dein forum bei einem hoster liegt ist für dich diese meldung unintressant . auswirkungen auf das forum , durch das patchen/fixen sind derzeit nichtbekannt

Verfasst: 21.12.2004 11:27
von Sorcio
Kann man eigentlich per Internet direkt die congif.php anzeigen lassen?
Also bsp:

http://www.xyz.de/phpBB2/config.php

Geht das so? Oder wie wird das auslesen geschützt?

Danke

Verfasst: 21.12.2004 11:32
von marino
und wieder gelöscht ..

Verfasst: 21.12.2004 11:33
von larsneo
solange der php-parser einwandfrei läuft, kann man die datei nicht anzeigen lassen.
wenn allerdings (wie z.b. beim highlight exploit) systembefehle eingeschleust werden können, sieht die sache anders aus, in diesem fall inkludiert man die datei und gibt die entsprechenden variablen aus bzw. verschickt ganz einfach die datei per mail an einen vorzugsweise russischen freemail-account.

Verfasst: 21.12.2004 11:35
von marino
danke lars für die sehr ausführliche antwort .. wieder was gelernt ;)

Verfasst: 21.12.2004 11:49
von FatFreddy
Info für alle, die bei ihr Forum bei 1&1 haben.

1&1 hat die Updates auf PHP 4.3.10 eingespielt.

FatFreddy
Alle Zeiten sind UTC+01:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de