Sicherheitsproblem printview.php ?

Sicherheit den Webservers, Servers und rund um das phpBB
Gesperrt
Benutzeravatar
Dungeonwatcher
User
User
Beiträge: 1055
Registriert: Sa 19.Feb, 2005 01:16
Wohnort: Berlin
Kontaktdaten:

Sicherheitsproblem printview.php ?

Beitrag von Dungeonwatcher » Di 22.Jan, 2008 18:17

Hi! :cool:

Auf www.milw0rm.com lese ich gerade dies:
PNphpBB2 <= 1.2i (printview.php phpEx) Local File Inclusion Vuln
Nun nutze ich diesen Mod in Version 1.1 - 20th March 2002 - RC4 fix. Ist dieser nun auch betroffen oder nicht?

Bye
Zuletzt geändert von Dungeonwatcher am Di 22.Jan, 2008 18:17, insgesamt 1-mal geändert.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29108
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Di 22.Jan, 2008 22:04

Wenn alles unter 1.2i unsicher ist und Du 1.1 verwendest, dann ja ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
Dungeonwatcher
User
User
Beiträge: 1055
Registriert: Sa 19.Feb, 2005 01:16
Wohnort: Berlin
Kontaktdaten:

Beitrag von Dungeonwatcher » Di 22.Jan, 2008 22:21

Ich habe mal phpbb.de durchsucht und folgendes gefunden:

Ändern der printview.php von

Code: Alles auswählen

header("Location: " . append_sid("login.$phpEx?redirect=printview.$phpEx&$redirect", true));
zu

Code: Alles auswählen

header("Location: " . append_sid("login.$phpEx?redirect=print_message.$phpEx&$redirect", true));
Allerdings gab es nicht wirklich eine Erklärung für diese Änderung. Zumindest tut es aber weiterhin funktionieren.

Sinnvoll oder nicht diese Änderung?

Es betrifft übrigens den auch hier im DL Bereich befindlichen Mod Printable Page 1.0.0.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29108
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Di 22.Jan, 2008 22:51

Es betrifft übrigens den auch hier im DL Bereich befindlichen Mod Printable Page 1.0.0.
Ich hatte zu diesem Thema bereits schon mehrfach gepostet, die MODs, sofern ich von Updates erfahre, diese dann auch im Download Bereich zu aktualisieren, das aber dann auch immer den jeweiligen Autor zu überlassen.
Ich werde keine MODs von mir angepasst veröffentlichen!

Und die Änderung zur printview.php führt nach dem Login eigentlich zwangsweise zu einem Fehler, da die Datei print_message.php in der Regel ja nicht vorhanden ist und die Datei weiterhin printview.php lautet ;)

Allerdings kann ich keinen Fehler feststellen, also in der Dateiversion 1.1, und da auch alle phpBB-Dateien so aufgebaut sind, wären dann wohl auch alle Dateien des Forums auf die gleiche Weise angreifbar ^6 Das hätte die phpBB.com-Gruppe dann auch schon geändert.

Wobei ich nach dem zweiten Lesen eher glaube, daß die nicht die printview.php vom MOD für das phpBB meinen, sondern wohl eher die printview.php aus dem phpNuke-Paket!
Und das hast Du ja wohl nicht installiert, oder?
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

JaneDoe
User
User
Beiträge: 230
Registriert: Sa 16.Jul, 2005 11:18

Beitrag von JaneDoe » Di 22.Jan, 2008 22:59

[quote="Dungeonwatcher";p="84393"]Ich habe mal phpbb.de durchsucht und folgendes gefunden:

Ändern der printview.php von

Code: Alles auswählen

header("Location: " . append_sid("login.$phpEx?redirect=printview.$phpEx&$redirect", true));
zu

Code: Alles auswählen

header("Location: " . append_sid("login.$phpEx?redirect=print_message.$phpEx&$redirect", true));
Allerdings gab es nicht wirklich eine Erklärung für diese Änderung. [/quote]

Die gabs schon.
Der modifizierte Mod machte nämlich aus der printview.php eine print_message.php. ;)
Deswegen musste auch der redirect angepasst werden.
Dieser Satz kein Verb.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29108
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Mi 23.Jan, 2008 17:37

Ah ja.
Dennoch ist eine Änderung normalerweise nicht nötig, da die $phpEx im gleichen Maße erstellt wird, wie in jeder anderen phpBB-Datei auch und das Exploit bezieht sich nicht auf den MOD als solches, sondern auf das Forumsystem, in dem er verbaut ist.
Sucht doch mal auf Milw0rm nach dem System, dann kommen einige andere "Anfängerfehler" noch zum Vorschein, die man einfach nicht machen sollte...
Da hat eben jemand ein recht unsicheres System gebaut ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Gesperrt