Auf www.milw0rm.com lese ich gerade dies:
PNphpBB2 <= 1.2i (printview.php phpEx) Local File Inclusion Vuln
Nun nutze ich diesen Mod in Version 1.1 - 20th March 2002 - RC4 fix. Ist dieser nun auch betroffen oder nicht?
Bye
|
|
Sicherheitsproblem printview.php ?Moderator: Moderatoren
Thema als PDF • 6 Beiträge
• Seite 1 von 1
Sicherheitsproblem printview.php ?
Hi!
Auf www.milw0rm.com lese ich gerade dies: Nun nutze ich diesen Mod in Version 1.1 - 20th March 2002 - RC4 fix. Ist dieser nun auch betroffen oder nicht? Bye Zuletzt geändert von Dungeonwatcher am Di 22.Jan, 2008 19:17, insgesamt 1-mal geändert.
Wenn alles unter 1.2i unsicher ist und Du 1.1 verwendest, dann ja
 Karsten Ude
-={ Das Mädchen für alles }=- Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert! No support per ICQ, Email or PM. Each unasked message will be ignored!
Ich habe mal phpbb.de durchsucht und folgendes gefunden:
Ändern der printview.php von
zu
Allerdings gab es nicht wirklich eine Erklärung für diese Änderung. Zumindest tut es aber weiterhin funktionieren. Sinnvoll oder nicht diese Änderung? Es betrifft übrigens den auch hier im DL Bereich befindlichen Mod Printable Page 1.0.0.
Ich hatte zu diesem Thema bereits schon mehrfach gepostet, die MODs, sofern ich von Updates erfahre, diese dann auch im Download Bereich zu aktualisieren, das aber dann auch immer den jeweiligen Autor zu überlassen. Ich werde keine MODs von mir angepasst veröffentlichen! Und die Änderung zur printview.php führt nach dem Login eigentlich zwangsweise zu einem Fehler, da die Datei print_message.php in der Regel ja nicht vorhanden ist und die Datei weiterhin printview.php lautet Allerdings kann ich keinen Fehler feststellen, also in der Dateiversion 1.1, und da auch alle phpBB-Dateien so aufgebaut sind, wären dann wohl auch alle Dateien des Forums auf die gleiche Weise angreifbar  Das hätte die phpBB.com-Gruppe dann auch schon geändert.Wobei ich nach dem zweiten Lesen eher glaube, daß die nicht die printview.php vom MOD für das phpBB meinen, sondern wohl eher die printview.php aus dem phpNuke-Paket! Und das hast Du ja wohl nicht installiert, oder? Karsten Ude
-={ Das Mädchen für alles }=- Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert! No support per ICQ, Email or PM. Each unasked message will be ignored!
Die gabs schon. Der modifizierte Mod machte nämlich aus der printview.php eine print_message.php.
Deswegen musste auch der redirect angepasst werden. Dieser Satz kein Verb.
Ah ja.
Dennoch ist eine Änderung normalerweise nicht nötig, da die $phpEx im gleichen Maße erstellt wird, wie in jeder anderen phpBB-Datei auch und das Exploit bezieht sich nicht auf den MOD als solches, sondern auf das Forumsystem, in dem er verbaut ist. Sucht doch mal auf Milw0rm nach dem System, dann kommen einige andere "Anfängerfehler" noch zum Vorschein, die man einfach nicht machen sollte... Da hat eben jemand ein recht unsicheres System gebaut Karsten Ude
-={ Das Mädchen für alles }=- Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert! No support per ICQ, Email or PM. Each unasked message will be ignored!
Thema als PDF •
6 Beiträge
• Seite 1 von 1
Wer ist online?Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste |
