Download Mod von Hotschi unsicher!!!

Hier die Newsecke (Kein Support!)
Antworten
Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Download Mod von Hotschi unsicher!!!

Beitrag von oxpus » Di 10.Mai, 2005 08:24

Wie auf phpbb.de gemeldet, ist der Download Mod von Hotschi unsicher.
Es kann über die downloads.php angeblich das Passwort eines jeden Users ausgelesen werden.

OXPUS.de ist bestmöglichst geschützt und die Downloads sind freigegeben!
Es wird aber ausdrücklich davor gewarnt, den Download Mod ohne weiterere Sicherheitsvorkehrungen in Betrieb zu nehmen!


Ganz wichtig ist dieser Fix: http://www.oxpus.de/ftopic-1420.html
Und dazu auch diesen Artikel lesen: http://www.oxpus.de/kb.php?mode=article&k=35
Und dieses Topic zum Schluss: http://www.oxpus.de/ftopic-3000.html

Als extrem empfehlenswert sei der ctrack eXtreme Mod von CBack genannt! Erhältlich auf http://www.community.cback.de

Original Mitteilung: http://www.phpbb.de/viewtopic.php?t=86258
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

themanticors
User
User
Beiträge: 9
Registriert: Mo 09.Mai, 2005 15:04
Wohnort: Istanbul
Kontaktdaten:

Beitrag von themanticors » Di 10.Mai, 2005 08:43

ja ich habs doch gestern eingebaut und wieder schon eine sicherheitslücke.welchen mod ich auch einbaue hat eine sicherheitslücke.hoffe das es schnell gelöst wird damit ich es benutzen kann.auserdem verbiete ich mir ab jetzt irgend einen mod einzubauen.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Di 10.Mai, 2005 08:45

Keine Sorge, ich bleibe am Ball.
Mein Fix sollte in der Regel ausreichen, ich hatte den bisher erfolgreich getestet, d.h. Rest-SQL-Injections waren erfolglos.
Da aber auch ich mittlerweile Zweifel habe, warte ich ab, was die Jungs auf phpbb.de zu meinem Fix sagen.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

modbo
User
User
Beiträge: 1422
Registriert: Mo 13.Dez, 2004 11:18
Kontaktdaten:

Beitrag von modbo » Di 10.Mai, 2005 10:39

>Versuche, die Downloads hier aufzurufen führen ab sofort nur zum Index. Das gilt für Downloads.php ebenso wie für load.php.

Wie richtet man sich das denn möglichst unkompliziert ein? Müsste auch für das Portal gelten, wegen den recent downloads.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Di 10.Mai, 2005 10:42

Füge in der downloads.php und load.php einfach nach dem Session Management diese Zeile ein:

Code: Alles auswählen

redirect(append_sid("index.$phpEx"));
und der Rest kann so bleiben. Vorerst...
Statt "index" kann selbstverständlich auch eine andere Seite verwendet werden.
Eine Hinweisseite vielleicht...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

modbo
User
User
Beiträge: 1422
Registriert: Mo 13.Dez, 2004 11:18
Kontaktdaten:

Beitrag von modbo » Di 10.Mai, 2005 10:53

Danke für die schnelle Antwort. Habs einfach auf die interne Ankündigung geleitet.

Code: Alles auswählen

redirect(append_sid("viewtopic.$phpEx?t=xxx"));

//edit: Leider noch nichts neues wegen der Sicherheitslücke bei phpBB.de :(
Zuletzt geändert von modbo am Mi 11.Mai, 2005 00:03, insgesamt 2-mal geändert.

ToXic
User
User
Beiträge: 112
Registriert: Fr 04.Mär, 2005 10:37

Re: Download Mod von Hotschi unsicher!!!

Beitrag von ToXic » Mi 11.Mai, 2005 07:20

[quote="oxpus - Di 10.Mai, 2005 09:24";p="31226"]Wie auf phpbb.de gemeldet, ist der Download Mod von Hotschi unsicher.
[/quote]

Hi,
vielleicht passt meine Frage hier ja nicht, dennoch möchte ich sicher gehen. Ich betreibe das PlusBoard 1.52. Dort ist auch ein Download MOD enthalten an dem ich seit der Installation des Boards nichts nachträglich geändert habe. In der Hacks/Mods Liste ist aber kein Wort von Hotschi erwähnt. Dort steht bei mir "Download Mod pafiledb with MX Addon v0.0.9d". Sollte ich jetzt (nur um sicherzugehen) meine Downloads deaktivieren?

Thx 4 Help
MfG
ToXic

Benutzeravatar
Christian_N
User
User
Beiträge: 1806
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N » Mi 11.Mai, 2005 07:41

Hi ToXic,
nein brauchst du nicht, das betrifft nur der DL-MOD von Hotschi, den was du benutzt ist ein andere sind also 2 verschiedenen.

Gruß SuesseMaus28884
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt

themanticors
User
User
Beiträge: 9
Registriert: Mo 09.Mai, 2005 15:04
Wohnort: Istanbul
Kontaktdaten:

Beitrag von themanticors » Do 12.Mai, 2005 11:27

[quote="oxpus - Di 10.Mai, 2005 09:45";p="31229"]Keine Sorge, ich bleibe am Ball.
Mein Fix sollte in der Regel ausreichen, ich hatte den bisher erfolgreich getestet, d.h. Rest-SQL-Injections waren erfolglos.
Da aber auch ich mittlerweile Zweifel habe, warte ich ab, was die Jungs auf phpbb.de zu meinem Fix sagen.[/quote]

hi oxpus was wurde mit deinem fix.klappt es oder nicht.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Do 12.Mai, 2005 13:29

Also ohne weitere Sicherheiten, ausser denen im phpBB 2.0.15, kann ich mit meinem Fix keine unerlaubte Abfrage durchführen und auch kein Passwort Hash auslesen.
Daher gehe ich davon aus, das mein Fix nicht nur einen Bug, sondern auch die angeführte Sicherheitslücke schliesst.

Und solange mir eben keiner das Gegenteil beweist, behaupte ich mal frech: Lücke geschlossen!

Dennoch auf jeden Fall alle im ersten Post aufgeführten Beiträge durchgehen und die entsprechenden zusätzlichen Maßnahmen ergreifen.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

themanticors
User
User
Beiträge: 9
Registriert: Mo 09.Mai, 2005 15:04
Wohnort: Istanbul
Kontaktdaten:

Beitrag von themanticors » Do 12.Mai, 2005 17:13

dann sagst du das 2.0.15 die sicherheitlücke schliest.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Do 12.Mai, 2005 18:32

Öh, das phpBB selber hat Lücken und davon werden alle bekannten mit dem 2.0.15 geschlossen.
Das hat aber nichts mit dem Download-Mod zu tun!
Was ich sagen wollte, ist, daß der Download Mod auf einem Vanilla phpBB inklusive meinem Fix im Test nicht geklackt werden konnte.
Daher deklariere ich den Download Mod mit meinem Fix als Sicher gegen die besagte Lücke.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Twins

Beitrag von Twins » So 15.Mai, 2005 16:05

Ist mit "Download-Mod" der Attchment-Mod gemeint oder was meint ihr damit?

modbo
User
User
Beiträge: 1422
Registriert: Mo 13.Dez, 2004 11:18
Kontaktdaten:

Beitrag von modbo » So 15.Mai, 2005 16:24

Nein. Gemeint ist der Download Mod von Hotschi ( Beispiel )
Zuletzt geändert von modbo am So 15.Mai, 2005 16:25, insgesamt 1-mal geändert.

Benutzeravatar
Christian_N
User
User
Beiträge: 1806
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N » So 15.Mai, 2005 16:26

Eben der Download Mod von Hotschi, wäre der Attchment-Mod gemeint hätte sicher auch dann gestande das Attchment-Mod gemeint ist :)

Gruß SuesseMaus28884
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » So 15.Mai, 2005 16:58

Der Attachment Mod ist auch von Acyd Burn und nicht von Hotschi ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Antworten