Gibt es schon ein Nivisec Hacks List Sicherheitsfix?

Allgemeiner Support zum phpBB 2 Board und phpBB 2 Modifikationen
Forumsregeln
Auch wenn hier der Support für phpBB 2 weiterhin aufrecht erhalten bleibt, weisen wir darauf hin, dass das phpBB 2 nicht mehr offiziell unterstützt und weiterentwickelt wird!
Antworten
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Gibt es schon ein Nivisec Hacks List Sicherheitsfix?

Beitrag von Christian_N »

Ich habe gerade auf heise News (http://www.heise.de/security/news/meldung/73656) zufällig gelesen das der besagte MOD im Titel auch ein Sicherheitsloch hat, gibts bereits ein Fix für diesen MOD? Den eine neuere Version kann ich leider auf der nivisec Seite nicht finden.
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Nivisec supported nicht mehr...
Du solltest daher besser diese Hackliste gegen eine andere tauschen.
Ich weiß auch nicht, WAS da nun nicht ganz korrekt sein soll, die Liste hatte ich vor "Urzeiten" schon deinstalliert...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Welche wäre als alternative zu empfehlen die 1. Sicher sind und 2. noch aktuell gehalten werden?
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

:pfff

Öhm, ich wüsste da was. :pfff

Nennt sich Download MOD ...


Ansonsten einfach mal suchen. Was Hacklisten angeht, kennt ich mich nicht soooo aus.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Oki danke, hatte ich sowieso vor den demnächst zu installieren, wenn er ne art Hacklist hat ist es gut :)
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Nicht nur eine Art, sondern eine recht gute, wie ich finde.
Wird dazu bequem aus den erfassten Downloads generiert.
Die hier vorhandene ist die aus dem MOD.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Oki dann hab ich da aber eine frage kann man auch in dieser Hackliste MODs eintragen die nicht man als Download gerade anbieten möchtet?
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Das ist der einzige Hacken an der Hacksliste des Download MODs. Dateien die du in der Liste haben möchtest ohne sie zum Download an zu bieten, musst du in einer versteckten Kategorie platzieren.

// EDIT
Mir fällt gerade ein das Angel hier eine Hacksliste entwickelt hat, die der des Download MODs (4.x) zum verwechseln ähnlich sieht. :)
Zuletzt geändert von AmigaLink am Mi 31.Mai, 2006 00:16, insgesamt 2-mal geändert.
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Das macht mir garnichts aus solange ich als Admin diese Dateien sehen kann, momentan seh auch nur Admin die liste im ACP wo man dann eben neue hinzufügen, löschen oder bearbeiten kann. auf dem Board selbst ist keine vorhande da ich finde das die Benutzer ja nicht unbedingt wissen müssen was genau alles bei mir drauf ist *g*

Hab mir nur eine gemacht damit ich die Hacks nicht vergessen und bei neu installation ggf. leichter finde bzw. um besser für die installierte hacks nach update zu suchen.

EDIT *kopfhaut* stimmt die hab ich ganz vergessen *gg*, naja egal hatte eh vor den DL-Mod einzu bauen für meine paar snippets usw. die ich mir zusamme gebastelt habe :D
Zuletzt geändert von Christian_N am Mi 31.Mai, 2006 00:18, insgesamt 1-mal geändert.
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

Hi,

hab mir die Hacks List mal angesehen. Ich sehe hier in einer Datei ein Sicherheitsproblem, nämlich in der admin_hacks_list.php - ich hab mir die Datei mal angesehen und hab mich dabei an dem Teilchen verschluckt was ich gerade am essen war.... inzwischen is meine Lunge aber wieder frei und der Blutdruck wieder im grünen Bereich.


Öhm ja wo war ich... genau Hacks List.



also folgendes:

Code: Alles auswählen

define('IN_PHPBB', TRUE);
define('MOD_VERSION', '1.20');
/* If for some reason you need to disable the version check in THIS HACK ONLY,
change the blow to TRUE instead of FALSE.  No other hacks will be affected
by this change.
*/
define('DISABLE_VERSION_CHECK', FALSE);

$phpbb_root_path = '../';
if( !empty($setmodules) )
{
	include($phpbb_root_path . 'language/lang_' . $board_config['default_lang'] . '/lang_admin_hacks_list.' . $phpEx);
	$filename = basename(__FILE__);
	$module['General']['Hacks_List'] = $filename;
	
	return;
}

include($phpbb_root_path . 'extension.inc');
(file_exists('pagestart.' . $phpEx)) ? include('pagestart.' . $phpEx) : include('pagestart.inc');

nutzt $phpEx bevor die extension.inc eingebunden wurde. Folglich habe ich die Möglichkeit durch ein Überschreiben dieser Variable $phpEx das Skript nach meinem Belieben umzuformen, und bei Servern mit GLOBALS=on kann man das sehr leicht machen und auch die Auswirkungen auf den Server dürften nicht für Freude beim Admin sorgen. ;)


Hier also mein Fix für den obigen part:

Code: Alles auswählen

include($phpbb_root_path . 'extension.inc');
$phpbb_root_path = './../';

define('IN_PHPBB', TRUE);
define('MOD_VERSION', '1.20');

define('DISABLE_VERSION_CHECK', FALSE);

if( !empty($setmodules) )
{
	include($phpbb_root_path . 'language/lang_' . $board_config['default_lang'] . '/lang_admin_hacks_list.' . $phpEx);
	$filename = basename(__FILE__);
	$module['General']['Hacks_List'] = $filename;
	return;
}

require('pagestart.' . $phpEx);
Zuletzt geändert von cback am Mi 31.Mai, 2006 13:16, insgesamt 1-mal geändert.
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Na das freut uns aber das es überlebt hast :) und danke für den Fix :)
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Ich würde auch hier diese Zeile eher in die functions.php verlagern:

Code: Alles auswählen

   include($phpbb_root_path . 'language/lang_' . $board_config['default_lang'] . '/lang_admin_hacks_list.' . $phpEx);
aber egal, es geht ja auch so...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
cbrkiter
Beiträge: 170
Registriert: Fr 26.Nov, 2004 01:30
Kontaktdaten:

Beitrag von cbrkiter »

[quote="cback";p="60233"]

Hier also mein Fix für den obigen part:

Code: Alles auswählen

include($phpbb_root_path . 'extension.inc');
$phpbb_root_path = './../';

define('IN_PHPBB', TRUE);
define('MOD_VERSION', '1.20');
[/quote]

Müssten die beiden "define" (zumindest 'IN_PHPBB') nicht vor dem include der extension.inc kommen? Die extension.inc fängt doch mit folgendem an:

Code: Alles auswählen

if ( !defined('IN_PHPBB') )
{
	die("Hacking attempt");
}
Ich kann es gerade nicht vom Büro aus ausprobieren, wie es sich auswirkt. Aber ich verstand dies bisher so, dass wenn die Konstanste nicht definiert ist, dann wird sofort abgebrochen. Denk ich richtig oder falsch???
1. 'Man muss das Unm?gliche versuchen, um das M?gliche zu erreichen!' (Hermann Hesse)
2. 'The best way to learn something is to get your hands dirty and do it!' (keine Ahnung))
3. http://www.thw-kamen-bergkamen.de
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

Oh jopp natürlich, hatte das gerade hier drin verschoben.

Code: Alles auswählen


define('IN_PHPBB', TRUE);
$phpbb_root_path = './../';
include($phpbb_root_path . 'extension.inc');


define('MOD_VERSION', '1.20');

define('DISABLE_VERSION_CHECK', FALSE);

if( !empty($setmodules) )
{
   include($phpbb_root_path . 'language/lang_' . $board_config['default_lang'] . '/lang_admin_hacks_list.' . $phpEx);
   $filename = basename(__FILE__);
   $module['General']['Hacks_List'] = $filename;
   return;
}


require('pagestart.' . $phpEx);

so sollte es natürlich sein.

Sorry waren noch die Nachwirkungen vom Teilchen. :D
Zuletzt geändert von cback am So 18.Jun, 2006 16:44, insgesamt 4-mal geändert.
Antworten