Download Mod von Hotschi unsicher!!!
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Download Mod von Hotschi unsicher!!!
Wie auf phpbb.de gemeldet, ist der Download Mod von Hotschi unsicher.
Es kann über die downloads.php angeblich das Passwort eines jeden Users ausgelesen werden.
OXPUS.de ist bestmöglichst geschützt und die Downloads sind freigegeben!
Es wird aber ausdrücklich davor gewarnt, den Download Mod ohne weiterere Sicherheitsvorkehrungen in Betrieb zu nehmen!
Ganz wichtig ist dieser Fix: http://www.oxpus.de/ftopic-1420.html
Und dazu auch diesen Artikel lesen: http://www.oxpus.de/kb.php?mode=article&k=35
Und dieses Topic zum Schluss: http://www.oxpus.de/ftopic-3000.html
Als extrem empfehlenswert sei der ctrack eXtreme Mod von CBack genannt! Erhältlich auf http://www.community.cback.de
Original Mitteilung: http://www.phpbb.de/viewtopic.php?t=86258
Es kann über die downloads.php angeblich das Passwort eines jeden Users ausgelesen werden.
OXPUS.de ist bestmöglichst geschützt und die Downloads sind freigegeben!
Es wird aber ausdrücklich davor gewarnt, den Download Mod ohne weiterere Sicherheitsvorkehrungen in Betrieb zu nehmen!
Ganz wichtig ist dieser Fix: http://www.oxpus.de/ftopic-1420.html
Und dazu auch diesen Artikel lesen: http://www.oxpus.de/kb.php?mode=article&k=35
Und dieses Topic zum Schluss: http://www.oxpus.de/ftopic-3000.html
Als extrem empfehlenswert sei der ctrack eXtreme Mod von CBack genannt! Erhältlich auf http://www.community.cback.de
Original Mitteilung: http://www.phpbb.de/viewtopic.php?t=86258
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-
- Beiträge: 9
- Registriert: Mo 09.Mai, 2005 16:04
- Wohnort: Istanbul
- Kontaktdaten:
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Keine Sorge, ich bleibe am Ball.
Mein Fix sollte in der Regel ausreichen, ich hatte den bisher erfolgreich getestet, d.h. Rest-SQL-Injections waren erfolglos.
Da aber auch ich mittlerweile Zweifel habe, warte ich ab, was die Jungs auf phpbb.de zu meinem Fix sagen.
Mein Fix sollte in der Regel ausreichen, ich hatte den bisher erfolgreich getestet, d.h. Rest-SQL-Injections waren erfolglos.
Da aber auch ich mittlerweile Zweifel habe, warte ich ab, was die Jungs auf phpbb.de zu meinem Fix sagen.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Füge in der downloads.php und load.php einfach nach dem Session Management diese Zeile ein:
und der Rest kann so bleiben. Vorerst...
Statt "index" kann selbstverständlich auch eine andere Seite verwendet werden.
Eine Hinweisseite vielleicht...
Code: Alles auswählen
redirect(append_sid("index.$phpEx"));
Statt "index" kann selbstverständlich auch eine andere Seite verwendet werden.
Eine Hinweisseite vielleicht...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Danke für die schnelle Antwort. Habs einfach auf die interne Ankündigung geleitet.
//edit: Leider noch nichts neues wegen der Sicherheitslücke bei phpBB.de
Code: Alles auswählen
redirect(append_sid("viewtopic.$phpEx?t=xxx"));
//edit: Leider noch nichts neues wegen der Sicherheitslücke bei phpBB.de
Zuletzt geändert von modbo am Mi 11.Mai, 2005 01:03, insgesamt 2-mal geändert.
Re: Download Mod von Hotschi unsicher!!!
[quote="oxpus - Di 10.Mai, 2005 09:24";p="31226"]Wie auf phpbb.de gemeldet, ist der Download Mod von Hotschi unsicher.
[/quote]
Hi,
vielleicht passt meine Frage hier ja nicht, dennoch möchte ich sicher gehen. Ich betreibe das PlusBoard 1.52. Dort ist auch ein Download MOD enthalten an dem ich seit der Installation des Boards nichts nachträglich geändert habe. In der Hacks/Mods Liste ist aber kein Wort von Hotschi erwähnt. Dort steht bei mir "Download Mod pafiledb with MX Addon v0.0.9d". Sollte ich jetzt (nur um sicherzugehen) meine Downloads deaktivieren?
Thx 4 Help
MfG
ToXic
[/quote]
Hi,
vielleicht passt meine Frage hier ja nicht, dennoch möchte ich sicher gehen. Ich betreibe das PlusBoard 1.52. Dort ist auch ein Download MOD enthalten an dem ich seit der Installation des Boards nichts nachträglich geändert habe. In der Hacks/Mods Liste ist aber kein Wort von Hotschi erwähnt. Dort steht bei mir "Download Mod pafiledb with MX Addon v0.0.9d". Sollte ich jetzt (nur um sicherzugehen) meine Downloads deaktivieren?
Thx 4 Help
MfG
ToXic
- Christian_N
- Beiträge: 1787
- Registriert: Sa 19.Feb, 2005 21:48
- Wohnort: Frankfurt am Main
- Kontaktdaten:
Hi ToXic,
nein brauchst du nicht, das betrifft nur der DL-MOD von Hotschi, den was du benutzt ist ein andere sind also 2 verschiedenen.
Gruß SuesseMaus28884
nein brauchst du nicht, das betrifft nur der DL-MOD von Hotschi, den was du benutzt ist ein andere sind also 2 verschiedenen.
Gruß SuesseMaus28884
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
-
- Beiträge: 9
- Registriert: Mo 09.Mai, 2005 16:04
- Wohnort: Istanbul
- Kontaktdaten:
[quote="oxpus - Di 10.Mai, 2005 09:45";p="31229"]Keine Sorge, ich bleibe am Ball.
Mein Fix sollte in der Regel ausreichen, ich hatte den bisher erfolgreich getestet, d.h. Rest-SQL-Injections waren erfolglos.
Da aber auch ich mittlerweile Zweifel habe, warte ich ab, was die Jungs auf phpbb.de zu meinem Fix sagen.[/quote]
hi oxpus was wurde mit deinem fix.klappt es oder nicht.
Mein Fix sollte in der Regel ausreichen, ich hatte den bisher erfolgreich getestet, d.h. Rest-SQL-Injections waren erfolglos.
Da aber auch ich mittlerweile Zweifel habe, warte ich ab, was die Jungs auf phpbb.de zu meinem Fix sagen.[/quote]
hi oxpus was wurde mit deinem fix.klappt es oder nicht.
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Also ohne weitere Sicherheiten, ausser denen im phpBB 2.0.15, kann ich mit meinem Fix keine unerlaubte Abfrage durchführen und auch kein Passwort Hash auslesen.
Daher gehe ich davon aus, das mein Fix nicht nur einen Bug, sondern auch die angeführte Sicherheitslücke schliesst.
Und solange mir eben keiner das Gegenteil beweist, behaupte ich mal frech: Lücke geschlossen!
Dennoch auf jeden Fall alle im ersten Post aufgeführten Beiträge durchgehen und die entsprechenden zusätzlichen Maßnahmen ergreifen.
Daher gehe ich davon aus, das mein Fix nicht nur einen Bug, sondern auch die angeführte Sicherheitslücke schliesst.
Und solange mir eben keiner das Gegenteil beweist, behaupte ich mal frech: Lücke geschlossen!
Dennoch auf jeden Fall alle im ersten Post aufgeführten Beiträge durchgehen und die entsprechenden zusätzlichen Maßnahmen ergreifen.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-
- Beiträge: 9
- Registriert: Mo 09.Mai, 2005 16:04
- Wohnort: Istanbul
- Kontaktdaten:
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Öh, das phpBB selber hat Lücken und davon werden alle bekannten mit dem 2.0.15 geschlossen.
Das hat aber nichts mit dem Download-Mod zu tun!
Was ich sagen wollte, ist, daß der Download Mod auf einem Vanilla phpBB inklusive meinem Fix im Test nicht geklackt werden konnte.
Daher deklariere ich den Download Mod mit meinem Fix als Sicher gegen die besagte Lücke.
Das hat aber nichts mit dem Download-Mod zu tun!
Was ich sagen wollte, ist, daß der Download Mod auf einem Vanilla phpBB inklusive meinem Fix im Test nicht geklackt werden konnte.
Daher deklariere ich den Download Mod mit meinem Fix als Sicher gegen die besagte Lücke.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
- Christian_N
- Beiträge: 1787
- Registriert: Sa 19.Feb, 2005 21:48
- Wohnort: Frankfurt am Main
- Kontaktdaten:
Eben der Download Mod von Hotschi, wäre der Attchment-Mod gemeint hätte sicher auch dann gestande das Attchment-Mod gemeint ist
Gruß SuesseMaus28884
Gruß SuesseMaus28884
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt