Smilies Album in Version 1.3.5 herausgekommen

Hier die Newsecke (Kein Support!)
Antworten
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Smilies Album in Version 1.3.5 herausgekommen

Beitrag von oxpus »

Das Smilies Album musste aufgrund eines möglichen Exploits überarbeitet werden.
Es ist daher in der Version 1.3.5 herausgekommen, um dieses zu fixen.

Allen Benutzern dieses Albums ist daher dringend zu empfehlen, den MOD zu aktualisieren, um nicht Gefahr zu laufen, den Admin-Account gehackt zu bekommen.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Gesagt, getan. :D
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Hier für alle nochmal die Meldung des Exploits mit der Anleitung, wie der mit einem nicht aktuellem Album nachzustellen ist.

Dieses gilt ebenso für die Thumbnails des Download MODs. Bis zur 5.0.8 hat der den gleichen Fehler!!!
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Zuletzt geändert von oxpus am Mi 28.Jun, 2006 23:26, insgesamt 2-mal geändert.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Is schon manchmal Interessant was die Hacker so alles austüfteln.
Glücklicherweise Arbeite ich beim "Userpic in Profile" bereits mit getimagesize();. :)
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Ich Depp hatte das absichtlich rausgenommen, frei nach dem Motto: Keine einstellbare Grenze vorhanden, also unnötig.
Jetzt weiß ich aber: Das ist Quatsch und eben IMMER nötig!

Man lernt halt nie aus...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Jetzt weiß ich aber: Das ist Quatsch und eben IMMER nötig!

Man lernt halt nie aus...
Wenn ich die Bildmaße nicht für die Thumbnailberechnung benötigen würde, dann hätte ich jetzt auch einen Sicherheitsfix veröffentlichen müssen. :p

Ist übrigens gut das du dieses Expoid hier veröffentlicht hast. Ich Arbeite nämlich nebenbei an einem neuem Projekt (eine Seite für meine Fahrschule) und da werde ich eine Upload Funktion nun ebenfalls ändern müssen. ^6
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
cbrkiter
Beiträge: 170
Registriert: Fr 26.Nov, 2004 01:30
Kontaktdaten:

Beitrag von cbrkiter »

Heißt dies, dass ich nun überall, wo Bilder hochgeladen werden können die Uploads als erstes auf vorhandene Bildgrößen prüfen sollte und wenn diese nicht verhanden sind, dann gleich abbrechen? Gilt dies für gif, jpg und png? Was ist denn dann z. B. mit dem Album-MOD oder einfach nur Bildern in der Signatur oder das Avatar. Ist dies dort auch möglich oder gehe ich jetzt zu weit?
1. 'Man muss das Unm?gliche versuchen, um das M?gliche zu erreichen!' (Hermann Hesse)
2. 'The best way to learn something is to get your hands dirty and do it!' (keine Ahnung))
3. http://www.thw-kamen-bergkamen.de
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Das Album und phpBB selber sind sicher, da beide eben genau dieses bereits machen ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

[quote="oxpus";p="61422"]die Meldung des Exploits mit der Anleitung, wie der mit einem nicht aktuellem Album nachzustellen ist.[/quote]


Say hello to my new script-kiddie producing friend. ¦9 ¦9 ¦9 ¦9
Zuletzt geändert von cback am Sa 01.Jul, 2006 00:27, insgesamt 2-mal geändert.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

[quote="cback";p="61498"][quote="oxpus";p="61422"]die Meldung des Exploits mit der Anleitung, wie der mit einem nicht aktuellem Album nachzustellen ist.[/quote]


Say hello to my new script-kiddie producing friend. ¦9 ¦9 ¦9 ¦9[/quote]

:rofl:
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Na ja, so ganz unrecht hat cback damit nicht. ^6

Im gegensatz dazu, zeigt es aber auch was man beim Programmieren beachten sollte. :p
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

[quote="AmigaLink";p="61511"]Im gegensatz dazu, zeigt es aber auch was man beim Programmieren beachten sollte. :p[/quote]

Naja der Hinweis: "Leute um XSS mit dem IE bei Bildern zu verhindern prüft vorher nochmal kurz durch ob es wirklich nur ein Bild ist." reicht ja eigentlich auch schon. ;)
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

@AmigaLink
Es sind aber genau diese "Kleinigkeiten", die man immer wieder vergisst und einen dann ruck zuck vor ein gehacktes Board stellt.
Und dann suche mal den Fehler :(
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

[quote="cback";p="61512"][quote="AmigaLink";p="61511"]Im gegensatz dazu, zeigt es aber auch was man beim Programmieren beachten sollte. :p[/quote]

Naja der Hinweis: "Leute um XSS mit dem IE bei Bildern zu verhindern prüft vorher nochmal kurz durch ob es wirklich nur ein Bild ist." reicht ja eigentlich auch schon. ;)[/quote]Nicht wirklich. Der Mensch lernt besser, schneller und effektiver, wenn er verstehen kann warum er etwas bestimmtes machen oder beachten soll! ;)
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
cYbercOsmOnauT
Beiträge: 10
Registriert: Mo 29.Mai, 2006 03:21

Beitrag von cYbercOsmOnauT »

Und den Möchtegernhackern wird der Weg genau beschrieben, den sie in ungeschützen Boards gehen müssen.... Ich bin wie cback der Meinung, das ein kurzes "XSS über EXIF-Daten" gereicht hätte. Intern kann man dann auch solche Exploits weitergeben, aber nicht offen posten. Da gibt es leider schon genug Webseiten auf denen so etwas getan wird.

Eines noch zum getimagesize():
Diese Anfängeranleitung (ich habe sie nur kurz überflogen) beschreibt, wie man ein GIF erzeugt, das nur aus EXIF-Daten besteht. Diese "defekte" Grafik kann man mit getimagesize erkennen. Was aber, wenn ein Hacker mit mehr Wissen an die Sache geht und den XSS-Hack in eine funktionierende Grafik einbaut? getimagesize meldet eine bestehende Größe und der Schutz wird somit ausgehebelt. Klar, dieser Weg is unweit aufwendiger, aber nicht unmöglich.

Just my 2 cents...

Tekin
? Supporter bei phpBB.de ?
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Das Exploit habe ich öffentlich gepostet, damit dieses jeder bei sich selber testen kann.
Es gibt schliesslich mehrere MODs, die ein Image-Upload ermöglichen.

Und welche Methode sollte es geben, ein Image anderweitig zu manipulieren, ohne, daß die Bildgrössenerkennung das nicht findet?
Ein Image ist dann zerstört, wenn die getimagesize()-Funktion die Datei nicht komplett binär lesen kann, um die Dimensionen auszulesen. Jeder nicht bildtypische Code führt dabei zu einem ungültigen Ergebnis, also FALSE. das gleiche macht die exif_imagetype-Funktion, nur daß diese einen gültigen Image-Header voraussetzt. Und der kann ja bekanntlich leichter manipuliert werden!

Wenn es andere Möglichkeiten gäbe, würden die Abwehrmaßnahmen auch im phpBB vorhanden sein. Und da kann ich keine erkennen...

Darüber hinaus bin ich auch immer sehr begeistert, wenn jemand solche "möglichen" Sicherheitslücken erwähnt, diese aber nie konkret nennt und ggf. eine Lösung parat hat. Das hilft keinem weiter und schürt nur unnötige Unsicherheit!
Zuletzt geändert von oxpus am So 02.Jul, 2006 08:22, insgesamt 3-mal geändert.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
cYbercOsmOnauT
Beiträge: 10
Registriert: Mo 29.Mai, 2006 03:21

Beitrag von cYbercOsmOnauT »

Ich habe in den Jahren gelernt mit "Lösungen" vorsichtig umzugehen. Viel zu oft werden diese genutzt um anderen zu schaden.

Dann will ich Dir lieber einfach Recht geben und sagen "Okay, es ist nicht möglich" und alle sind glücklich. Meine Erfahrung ist wertlos. ;)

Tekin

P.S.: Nicht immer alles, was ich schreibe, so negativ werten junger Padawan.
? Supporter bei phpBB.de ?
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Nun mal langsam.
Natürlich ist es möglich die EXIF-Daten eines Images zu manipulieren ohne das Image dabei zu zerstören!
Aaaaber diese EXIF-Daten werden normalerweise beim Anzeigen des Bildes nicht ausgelesen, geschweige denn (evtl. enthaltene Codes) ausgeführt. Von daher wird es erst gefährlich wenn das Anzeigescript die EXIF-Daten ausliest und ungefiltert an den Browser gibt. ;)

Wenn es noch einen anderen weg geben sollte, Daten in einem Bild zu verstecken die dann grundsätzlich beim Anzeigen ausgeführt werden, ohne das das getimagesize(); einen Fehler meldet (ich prüfe übrigens mit dem Befehl auch das Format des Bildes und nicht nur dessen maße). Dann wird es verdammt heikel. ^5
Ich könnte mir vorstellen das es, in einem solchen Fall, sehr nützlich ist, wenn die Bilddaten (wie z.B. beim "Photo Album" und meinem "Userpic in Profile") über ein Script ausgegeben werden; Anstatt direkt an den Browser gesandt zu werden.

Ansonsten:
  • Keine externe verlinkung!
  • Hochladen von Bildern nur wenn sie dabei Scaliert werden!
    (Selbst EXIF-Daten gehen dabei verloren, wenn sie nicht vorher ausgelesen und nachher wieder eingefügt werden.)
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Ich könnte mir vorstellen das es, in einem solchen Fall, sehr nützlich ist, wenn die Bilddaten (wie z.B. beim "Photo Album" und meinem "Userpic in Profile") über ein Script ausgegeben werden; Anstatt direkt an den Browser gesandt zu werden.
Irrtum.
Ich hatte genau das mit dem Photo Album und einem manipuliertem GIF gemacht (einfach ein bestehendes Image durch ein manipuliertes ersetzt). Das Exploit wurde dabei ebenfalls ausgelöst!

Es ist immer der Browser hierbei, der das Exploit aufruft, nicht die Art, WIE ein Image an den Browser gesendet wird! Das Image wird schliesslich zur Darstellung von der Browserengine geladen und dabei ausgeführt. Und genau dort setzt das Exploit ja auch an, nicht bereits beim Senden an den Browser ;)
Deshalb sind die einzigsten wirklich wirksamen Methoden hiergegen das Auslesen mittels getimagesize(); und ggf. ein Resize. Und das alles auf dem Server per PHP-Funktion. Ist das Image unbehandelt bereits beim Browser gelandet, ist es zu spät.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Ich könnte mir vorstellen das es, in einem solchen Fall, sehr nützlich ist, wenn die Bilddaten (wie z.B. beim "Photo Album" und meinem "Userpic in Profile") über ein Script ausgegeben werden; Anstatt direkt an den Browser gesandt zu werden.
Irrtum.
Ich hatte genau das mit dem Photo Album und einem manipuliertem GIF gemacht (einfach ein bestehendes Image durch ein manipuliertes ersetzt). Das Exploit wurde dabei ebenfalls ausgelöst!
Ok, das bedeutet diese Methode ist zumindest unverändert nicht die Lösung. ^6
Wenn ich näher drüber nachdenke, auch vollkommen logisch. Die Funktion readfile() (mittels der die Daten gelesen und zum Browser geschickt werden) prüft ja nichts, sondern leitet einfach nur die Daten weiter. :wall:
Aber man könnte, über das Skript, die Daten vorher nochmals überprüfen bzw. bearbeiten. ;)
(Hast du das mal getestet, wenn ein Wasserzeichen eingefügt wird?)
Zuletzt geändert von AmigaLink am So 02.Jul, 2006 22:07, insgesamt 1-mal geändert.
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Mit dem Wasserzeichen hatte ich nichts geprüft, ginge auch mittlerweile schlecht, da ich ja nur noch das "einfache" Album habe...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Schade. Mir passt es momentan überhaupt nicht in den Kram (Führerschein (fast fertig) + ein neues WebProjekt). Berhalte es aber mal im Hinterkopf.
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Antworten