Temporärer Fix für Sicherheitslücke in phpBB 2.0.16

Hier die Newsecke (Kein Support!)
Antworten
Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Temporärer Fix für Sicherheitslücke in phpBB 2.0.16

Beitrag von cback »

Temporärer Fix

Hallo!
Da ein neuer Bug im BBCode System von phpBB 2.0.16 gefunden wurde und die offizielle phpBB Group noch nicht mit einem FIX Reagiert hat stelle ich hier einen temporären FIX zur verfügung welcher diese Sicherheitslücke bei Euch schließt.

Das ist kein offizieller Patch, also bitte sichert die bbcode.php vorher, damit Ihr später den aktuellen Patch der phpBB Group besser einbauen könnt!


Hier der vorläufige Sicherheitspatch von mir:

Code: Alles auswählen

#
#-----[ OPEN ]------------------------------------------
#
includes/bbcode.php


#
#-----[ FIND ]------------------------------------------
#
	// matches a [url]xxxx://www.phpbb.com[/url] code..
	$patterns[] = "#\[url\]([\w]+?://[^ \"\n\r\t<]*?)\[/url\]#is";
	$replacements[] = $bbcode_tpl['url1'];

	// [url]www.phpbb.com[/url] code.. (no xxxx:// prefix).
	$patterns[] = "#\[url\]((www|ftp)\.[^ \"\n\r\t<]*?)\[/url\]#is";
	$replacements[] = $bbcode_tpl['url2'];

	// [url=xxxx://www.phpbb.com]phpBB[/url] code..
	$patterns[] = "#\[url=([\w]+?://[^ \"\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is";
	$replacements[] = $bbcode_tpl['url3'];

	// [url=www.phpbb.com]phpBB[/url] code.. (no xxxx:// prefix).
	$patterns[] = "#\[url=((www|ftp)\.[^ \"\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is";
	$replacements[] = $bbcode_tpl['url4'];
	

#
#-----[ REPLACE WITH ]------------------------------------------
#
	// matches a [url]xxxx://www.phpbb.com[/url] code..
	$patterns[] = "#\[url\]([\w]+?://[^ \"\n\r\t<]*?)\[/url\]#is";
	$replacements[] = $bbcode_tpl['url1'];

	// [url]www.phpbb.com[/url] code.. (no xxxx:// prefix).
	$patterns[] = "#\[url\]((www|ftp)\.(?![^ \"\n\r\t<]*?\[url)[^ \"\n\r\t<]*?)\[/url\]#is";
	$replacements[] = $bbcode_tpl['url2'];

	// [url=xxxx://www.phpbb.com]phpBB[/url] code..
	$patterns[] = "#\[url=([\w]+?://[^ \"\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is";
	$replacements[] = $bbcode_tpl['url3'];

	// [url=www.phpbb.com]phpBB[/url] code.. (no xxxx:// prefix).
	$patterns[] = "#\[url=((www|ftp)\.(?![^ \"\n\r\t<]*?\[url)[^ \"\n\r\t<]*?)\[/url\]#is";
        $replacements[] = $bbcode_tpl['url4'];
        
        

#
#-----[ SAVE/CLOSE ALL FILES ]------------------------------------------
#
# EoM

Nutzer der Distribution phpBB Plus können den Snippet 1:1 übernehmen. Ebenso wie die User des phpBB Vanilla.

Bei Nutzern der Distribution CBACK Orion sehen die Kommentarbereiche im BBCode etwas anders aus, dort am besten nur nach dem PHP Code, nicht nach den Kommentaren suchen. Ein neues Orion Release folgt sobald von der offiziellen Seite ein Fix vorliegt, dann wahrscheinlich bekannt unter phpBB 2.0.17 Kernel. Bis dahin sichert aber der obige Snippet schon das Board ab.




Über die Lücke ist es Möglich JavaSkripte im Forum einzuschleusen.
Benutzeravatar
SethDeBlade
User
User
Beiträge: 750
Registriert: Mo 31.Mai, 2004 02:31
Kontaktdaten:

Beitrag von SethDeBlade »

wieso gibts in letzter zeit so viele updates?? haben sich die "Sicherheitstester" jetzt auf das phpbb eingeschossen??

@cback :respect: du bist ja schneller als roadrunner. Möge der Code mit dir sein ;)
Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

[quote="SethDeBlade - 7.Juli 2005, 16:40";p="37958"]Möge der Code mit dir sein ;)[/quote]

Danke :)



Nun ja ich denke mal wegen einiger wirklich extrem schwerer Lücken in phpBB (man denke an das Einloggen ohne Passwort in phpBB 2.0.13, einem wirklich enormen patzer im Code) haben jetzt etliche Cracker Lunte gerochen und zerlegen nun phpBB denn:

- Das aktuelle Coding ist wirklich lückenhaft
- Es ist ein extrem weit verbreitetes Boardsystem
- Viele Forenhoster und Forenbetrieber haben massig Updates verschlafen und noch kritische Lücken drin


Daher gehts in letzter Zeit wirklich rund was phpBB betrifft. Wenn ich mir dann auch immer ansehe welche Art von Lücken bestehen die eigentlich schon beim ersten Coden hätten gestoppt werden müssen wirds mir manchmal schwindelig und ich frag mich ob ich nicht ne tickende Zeitbombe bei mir aufm Server liegen hab.

Aber was solls so kennen und lieben wir letztendlich phpBB und bei anderen Boardsystemen ist es vielleicht auch nicht besser, nur kriegt mans in diesen Fällen als "Außenseiter" weniger mit. ;)
Titus
User
User
Beiträge: 235
Registriert: Fr 18.Mär, 2005 22:23

Beitrag von Titus »

Cback macht weg, bevor ein Problem entsteht!

(original der Red. bekannt :p )
Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

"Saugt auf bevor Geruch entsteht" ^b
Twins

Beitrag von Twins »

Das hört sich aber schlimm an.Gut, das cback den Fehler gefunden hat.Hoffentlich wird der schnell gefixt.
Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

Gefunden hab ich den net, nur gefixt ;)
Twins

Beitrag von Twins »

[quote="cback - Mi 06.Jul, 2005 20:37";p="37981"]Gefunden hab ich den net, nur gefixt ;)[/quote]
Naja, auch gut.Ich hoffe, das die phpBB Group schnell reagiert, damit es auch ein Orion-Fix gibt.
:)
Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

Der Obige Fix sichert doch auch schon mein Orion....

Ich werde nur erst mit dem offiziellen Patch ne neue Version rausgeben aber mit mienem Code von oben ist Orion doch auch sicher...
Twins

Beitrag von Twins »

Stimmt.Ich nehme aber den Fix von deiner Seite, der extra für Orion zugeschnitten ist.
Benutzeravatar
blondi
User
User
Beiträge: 1091
Registriert: Do 30.Sep, 2004 14:36

Beitrag von blondi »

@cback

bei mir sieht das etwas anders aus... z.B...
$patterns[] = "#\[url\]([\w]+?://[^ \"\n\r\t<]*?)\[/url\]#is";


und noch dazu ist da irgendwie der smilie creator dazwischen gekommen...
ist das ok wenn ich das stück vom smilie teil einfach darunter setze...

Code: Alles auswählen

// matches a [url]xxxx://www.phpbb.com[/url] code..
	$patterns[] = "#\[url\]([\w]+?://.*?[^ \"\n\r\t<]*?)\[/url\]#is";
	$replacements[] = $bbcode_tpl['url1'];

	//Begin Smilie Creator Mod Copyright esperitox 2003 [schild=] and [/schild] code..
	$patterns[] = "#\[schild=([a-z0-9]+)([a-z0-9\-\.,\?!% \*_\#:;~\\&$@\/=\+\\\\)]*)\](.*?)\[/schild\]#sie";
	$replacements[] = $bbcode_tpl['schild'];

	// [url]www.phpbb.com[/url] code.. (no xxxx:// prefix).
	$patterns[] = "#\[url\]((www|ftp)\.([\w\-]+\.)*?[\w\-]+\.[a-z]{2,4}(:?[0-9]*?/[^ \"\n\r\t<]*)?)\[/url\]#is";
	$replacements[] = $bbcode_tpl['url2'];

	// [url=xxxx://www.phpbb.com]phpBB[/url] code..
	$patterns[] = "#\[url=([\w]+?://[^ \"\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is";
	$replacements[] = $bbcode_tpl['url3'];

	// [url=www.phpbb.com]phpBB[/url] code.. (no xxxx:// prefix).
	$patterns[] = "#\[url=((www|ftp)\.[^ \"\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is";
	$replacements[] = $bbcode_tpl['url4'];

	// [email]user@domain.tld[/email] code..
	$patterns[] = "#\[email\]([a-z0-9&\-_.]+?@[\w\-]+\.([\w\-\.]+\.)?[\w]+)\[/email\]#si";
	$replacements[] = $bbcode_tpl['email'];
Zuletzt geändert von blondi am Do 07.Jul, 2005 00:35, insgesamt 1-mal geändert.
Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

Jopp und den Teil mit EMail nicht mit ersetzen ;)
Benutzeravatar
blondi
User
User
Beiträge: 1091
Registriert: Do 30.Sep, 2004 14:36

Beitrag von blondi »

aber bei mir ist das code gekritzel anders.... kann ich dir mal meine datei schicken?
modbo
User
User
Beiträge: 1422
Registriert: Mo 13.Dez, 2004 11:18
Kontaktdaten:

Beitrag von modbo »

cback hat auf www.phpbb2.de den Code mochmals aktualisiert.
Twins

Beitrag von Twins »

Gibt es von der phpBB Group immer noch keine Reaktionen? Das hat cback ja in den neusten Orion Release geschrieben.
Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

Ne aber brauchste ja auch net Dein neues Orion is ja schon mit dem Fix ausgestattet.
Twins

Beitrag von Twins »

Stimmt, zum Glück.Warum reagiert die phpBB Group eigentlich nicht? Keine Lust? Keine Zeit? Sicherheitslücke noch nicht bemerkt?
Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

Bekannt ist sie, der fix oben wurde auch schon hingeschickt und die offizielle Variante wird nich viel anders aussehen, so sagt man. Sie brauchen nur so lange weil sie von den russischen Crackern verarscht werden die können phpBB nicht leiden, haben schon mehr lücken gefunden aber releasen erst wieder eine neue davon wenn eine neue Version draußen ist, das erklärt die Updatewelle in letzter Zeit, die phpBB Group wird von denen etwas veralbert.
Zuletzt geändert von cback am Sa 16.Jul, 2005 17:11, insgesamt 1-mal geändert.
modbo
User
User
Beiträge: 1422
Registriert: Mo 13.Dez, 2004 11:18
Kontaktdaten:

Beitrag von modbo »

So, die neue phpBB Version ist da (2.0.17): http://www.phpbb.com/downloads.php
Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

Und sie drehtens genau um. Oben Ausschlussverfahren: Zeichen die NICHT drin sein dürfen (die hatte ich um Schachtelung erweitert) und jetzt arbeiten sie damit welche Zeichen ERLAUBT sind. Gute Lösung wie ich finde.
modbo
User
User
Beiträge: 1422
Registriert: Mo 13.Dez, 2004 11:18
Kontaktdaten:

Beitrag von modbo »

Danke für die Aussage, bruhigt mich, nachdem ich gesehen habe, dass es nicht deiner Lösung entsprach :)
ToXic
User
User
Beiträge: 112
Registriert: Fr 04.Mär, 2005 10:37

Beitrag von ToXic »

[quote="cback - Mi 20.Jul, 2005 02:20";p="39069"]Und sie drehtens genau um. Oben Ausschlussverfahren: Zeichen die NICHT drin sein dürfen (die hatte ich um Schachtelung erweitert) und jetzt arbeiten sie damit welche Zeichen ERLAUBT sind. Gute Lösung wie ich finde.[/quote]

Hi,
ich hab heute auf 2.0.17 upgedatet. Allerdings habe ich nun mit der (laut Anleitung) geänderten bbcode.php das Problem das meine links ausgerichteten Grafiken nun wieder rechts stehen ^1
Muß das Update der bbcode.php unbedingt durchgeführt werden, oder kann ich auch den Fix von dir drinlassen?

Thx 4 Help
Antworten