phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Sicherheitslücke in phpBB 2.0.16?

https://www.phpbb.de/community/viewtopic.php?t=92566

Seite 1 von 2

Sicherheitslücke in phpBB 2.0.16?

Verfasst: 12.07.2005 14:02
von Gast210225
Hallo,
stimmt das hier? *klick* Weil ich hab hier und auf phpBB.com noch nix davon gelesen...


Johannes

Verfasst: 12.07.2005 14:17
von kellanved
a) ist bekannt
b) der "Fix" ist m.E. fehlerhaft.
8)

Verfasst: 12.07.2005 15:56
von Gast210225
Wo steht denn, dass es diese Lücke gibt?
Also heißt es warscheinlich, dass ein phpBB 2.0.27 kommt, oder? :-?

Verfasst: 15.07.2005 02:23
von pharao
koennte diesen mal jemand checken?

Code: Alles auswählen

#
#-----[ OPEN ]------------------------------------------
#
includes/bbcode.php


#
#-----[ FIND ]------------------------------------------
#
// matches a xxxx://www.phpbb.com code..
$patterns[] = "#\[url\]([\w]+?://[^ \"\n\r\t<]*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url1'];

// www.phpbb.com code.. (no xxxx:// prefix).
$patterns[] = "#\[url\]((www|ftp)\.[^ \"\n\r\t<]*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url2'];

// phpBB code..
$patterns[] = "#\[url=([\w]+?://[^ \"\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url3'];

// code.. (no xxxx:// prefix).
$patterns[] = "#\[url=((www|ftp)\.[^ \"\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url4'];


#
#-----[ REPLACE WITH ]------------------------------------------
#
// matches a xxxx://www.phpbb.com code..
$patterns[] = "#\[url\]([\w]+?://[^ '`\"\n\r\t<]*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url1'];

// www.phpbb.com code.. (no xxxx:// prefix).
$patterns[] = "#\[url\]((www|ftp)\.(?![^ '`\"\n\r\t<]*?\[url)[^ \"\n\r\t<]*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url2'];

// phpBB code..
$patterns[] = "#\[url=([\w]+?://[^ '`\"\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url3'];

// code.. (no xxxx:// prefix).
$patterns[] = "#\[url=((www|ftp)\.[^ '`\"\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url4'];



#
#-----[ SAVE/CLOSE ALL FILES ]------------------------------------------
#
# EoM

momentan hab ich mir temporaer noch so beholfen, das hilft auch sicher, jedoch auf dauer... ;o)

Code: Alles auswählen

	// matches a [url]xxxx://www.phpbb.com[/url] code..
//	$patterns[] = "#\[url\]([\w]+?://[^ \"\n\r\t<]*?)\[/url\]#is";
//	$replacements[] = $bbcode_tpl['url1'];

	// [url]www.phpbb.com[/url] code.. (no xxxx:// prefix).
//	$patterns[] = "#\[url\]((www|ftp)\.[^ \"\n\r\t<]*?)\[/url\]#is";
//	$replacements[] = $bbcode_tpl['url2'];

	// [url=xxxx://www.phpbb.com]phpBB[/url] code..
//	$patterns[] = "#\[url=([\w]+?://[^ \"\n\r\t<]*?)\](.*?)\[/url\]#is";
//	$replacements[] = $bbcode_tpl['url3'];

	// [url=www.phpbb.com]phpBB[/url] code.. (no xxxx:// prefix).
//	$patterns[] = "#\[url=((www|ftp)\.[^ \"\n\r\t<]*?)\](.*?)\[/url\]#is";
//	$replacements[] = $bbcode_tpl['url4'];

's waer schoen, wenn dieser thread zum thema nicht gleich wieder dicht gemacht werden wuerde ;o)


danke,
pharao

Verfasst: 15.07.2005 20:33
von alcaeus
Nachdem ich an obigem Fix mitgearbeitet hab: ja. Der offizielle Fix wird nicht viel anders aussehn, aber daran wird noch gearbeitet, die Regexp wird einer genaueren Kontrolle unterzogen ;)

Greetz
alcaeus

Verfasst: 15.07.2005 21:37
von pharao
wie ja auch hier deutlich wird...

http://boardunity.de/showpost.php?p=29205&postcount=7


pharao

Verfasst: 15.07.2005 21:54
von kellanved
alcaeus hat geschrieben:Nachdem ich an obigem Fix mitgearbeitet hab: ja. Der offizielle Fix wird nicht viel anders aussehn, aber daran wird noch gearbeitet, die Regexp wird einer genaueren Kontrolle unterzogen ;)

Greetz
alcaeus
Dem mag so sein, nur gerade bei Regular Expression heisst ähnliches Aussehen nicht ähnliche Wirkung. Es geistern mehrere "Fixes" durch das Netz, manche funktionieren andere nicht. (phpbb2.de sieht gut aus, oxpus.de ganz schlecht.). Daher kann man nur raten auf die offizielle Lösung zu warten, bevor sich jemand in falscher Sicherheit wiegt.

Verfasst: 15.07.2005 22:12
von S2B
Naja, ich denke, es muss wirklich jeder selbst entscheiden, ob er einen inoffiziellen Fix einbauen will oder nicht. Wenn ich eine große Community verwalten würde, würde ich ehrlich gesagt auch solch einen Fix einbauen (und zwar den von phpbb2.de), da ich doch ziemlich überzeugt von den php-Fähigkeiten von alcaeus, Christian S. und cback bin. Außerdem zeigt schon die Zusammenlegung von 2 voneinander völlig unabhängig entwickelten Fixes, dass die Lösung ja nicht so falsch sein kann. :wink:

Verfasst: 15.07.2005 23:14
von alcaeus
S2B hat geschrieben:da ich doch ziemlich überzeugt von den php-Fähigkeiten von alcaeus, Christian S. und cback bin
Danke fuer die Blumen, aber du hast Daniel vergessen ;)

In der Tat ist es so, dass die Loesung, welche auf phpbb2.de veroeffentlicht wurde, eine Kombination von 2 Loesungen ist (jene von cBack, sowie die von Christian S. (Delphi-Forum), Daniel (Delphi-PRAXiS) und mir) ist. Der Fix wurde an die phpBB Group weitergeleitet, und mir wurde gesagt dass der Fix eben aehnlich aussehen wird, allerdings werden ein paar kleine Modifikationen drin sein. Deshalb ist es ratsam, die originale bbcode.php vorher zu sichern.

Greetz
alcaeus

Verfasst: 16.07.2005 15:21
von cback
S2B hat geschrieben:da ich doch ziemlich überzeugt von den php-Fähigkeiten von alcaeus, Christian S. und cback bin
Auch von mir ein Dankeschön. :)
Alle Zeiten sind UTC+02:00
Seite 1 von 2

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de