PDF-Mod Sicherheitsloch?

Allgemeiner Support zum phpBB 2 Board und phpBB 2 Modifikationen
Forumsregeln
Auch wenn hier der Support für phpBB 2 weiterhin aufrecht erhalten bleibt, weisen wir darauf hin, dass das phpBB 2 nicht mehr offiziell unterstützt und weiterentwickelt wird!
Antworten
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

PDF-Mod Sicherheitsloch?

Beitrag von Holger »

Hallo,

ich verwende den PDF-Mod für phpBB2 (von Bootenkz).
Ein Moderator hat mich darauf aufmerksam gemacht, dass sogar Gäste PDF-Dateien aus Mod/Admin-Foren erstellen können.
Habe die pdf.php schnell gelöscht.

Kann jemand bestätigen, dass die Berechtigungen nicht berücksichtigt werden?

Gruss
Holger
Real men don’t back up, they learn data recovery. ;-)
http://www.mysqldumper.de
http://www.mysqldumper.se
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Re: PDF-Mod Sicherheitsloch?

Beitrag von oxpus »

Oha, eigentlich sollten die Rechte berücksichtigt werden.
Kannst Du mal bitte auf die Version verlinken, die Du verwendet?
Dann schaue ich nachher da rein.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Re: PDF-Mod Sicherheitsloch?

Beitrag von Holger »

Hier kommt meine pdf.php
Real men don’t back up, they learn data recovery. ;-)
http://www.mysqldumper.de
http://www.mysqldumper.se
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Re: PDF-Mod Sicherheitsloch?

Beitrag von oxpus »

Danke.

Das gleiche gilt übrigens auch für die Version für das Phpbb3!
Es wird an keiner Stelle die Berechtigung des Benutzers berücksichtigt!
Daher habe ich meine PDF-Files ebenfalls sofort gesperrt.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Re: PDF-Mod Sicherheitsloch?

Beitrag von Holger »

Shice! :wall:
Real men don’t back up, they learn data recovery. ;-)
http://www.mysqldumper.de
http://www.mysqldumper.se
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Re: PDF-Mod Sicherheitsloch?

Beitrag von oxpus »

So, nach der Mail vorab hier nun auch die Datei für alle anderen:


Es ist dringend angeraten, diese Datei umgehend zu verwenden, um grobe Sicherheitsmängel zu beheben!
Alle anderen Versionen, die in diesem Forum noch existieren, werden im Laufe des Tages entfernt oder ersetzt.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Re: PDF-Mod Sicherheitsloch?

Beitrag von Holger »

Wohoo! Genial! Danke!
Real men don’t back up, they learn data recovery. ;-)
http://www.mysqldumper.de
http://www.mysqldumper.se
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Re: PDF-Mod Sicherheitsloch?

Beitrag von oxpus »

Ähm, funktioniert diese Datei nun?
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Re: PDF-Mod Sicherheitsloch?

Beitrag von Holger »

Die, die Du mir per Mail geschickt hast leider nicht. Ich bekomme eine weisse Seite.

Gruss
Holger
Real men don’t back up, they learn data recovery. ;-)
http://www.mysqldumper.de
http://www.mysqldumper.se
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Re: PDF-Mod Sicherheitsloch?

Beitrag von oxpus »

Die nicht, ich meinte die in meinem Beitrag.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Re: PDF-Mod Sicherheitsloch?

Beitrag von Holger »

Immer noch weisse Seite ...
Real men don’t back up, they learn data recovery. ;-)
http://www.mysqldumper.de
http://www.mysqldumper.se
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Re: PDF-Mod Sicherheitsloch?

Beitrag von oxpus »

Okay, dann werde ich Dur dich selber testen müssen.
Update folgt dann im Laufe des Nachmittags.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Re: PDF-Mod Sicherheitsloch?

Beitrag von oxpus »

Bitte mal diese Version prüfen:
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Re: PDF-Mod Sicherheitsloch?

Beitrag von Holger »

Funktioniert, nur bekomme ich eine Fehlermeldung nach der erstellung der PDF-Datei.
Ausserdem sind alle Umlaute kaputt.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Real men don’t back up, they learn data recovery. ;-)
http://www.mysqldumper.de
http://www.mysqldumper.se
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Re: PDF-Mod Sicherheitsloch?

Beitrag von oxpus »

Was besagt die Fehlermeldung?

Die Umlaute dürften wieder mit deiner Kodierung im Forum zusammenhängen. SD lässt sich aber ändern.
Wenn du die Funktion überhaupt noch nutzen möchtest, kann ich das heute Nachmittag anpassen.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Re: PDF-Mod Sicherheitsloch?

Beitrag von Holger »

Fehlermeldung -> Screenshot

Ja, die Funktion ist schon schön zu haben. Aber nur, wenn es kein grosser Aufwand ist!
Real men don’t back up, they learn data recovery. ;-)
http://www.mysqldumper.de
http://www.mysqldumper.se
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Re: PDF-Mod Sicherheitsloch?

Beitrag von oxpus »

Der Aufwand ist nicht groß. Man muss nur den Text, den man der PDF-Funktion übergibt, erst in ISO umwandeln, damit das PDF korrekte Umlaute beinhaltet.
Das hatte ich ja damals bei Dir auch gemacht und war nur eine Stelle, wo man das ändert.
Ich schicke Dir nachher die entsprechende Fassung auf deinen Server.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Re: PDF-Mod Sicherheitsloch?

Beitrag von oxpus »

Also die Umlaute bei dir sind nun korrekt angezeigt, aber die Fehlermeldung ist geblieben.
Keine Ahnung, was da falsch sein soll...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Re: PDF-Mod Sicherheitsloch?

Beitrag von Holger »

Kann sein, dass es mit der PHP-Version zu tun hat ... irgendwelche Module ...

DANKE!
Real men don’t back up, they learn data recovery. ;-)
http://www.mysqldumper.de
http://www.mysqldumper.se
Benutzeravatar
Bootenks
Beiträge: 1836
Registriert: Sa 29.Mai, 2004 23:36
Wohnort: G?rlitz (?stlichste Stadt Deutschlands)

Re: PDF-Mod Sicherheitsloch?

Beitrag von Bootenks »

Man man man, da habe ich es das echt verrammelt... ^a

Sorry Jungs... Ich war jung und ich brauchte die Anerkennung.... :wall:

Danke an die Entdecker & Beheber!! :anbet :anbet
Nur ein Informatik Student. ^^
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Re: PDF-Mod Sicherheitsloch?

Beitrag von Holger »

:)
Real men don’t back up, they learn data recovery. ;-)
http://www.mysqldumper.de
http://www.mysqldumper.se
Antworten