[Patch] Hotschi Download Mod Sicherheitsrisiko

[modbo]

Hab ich grade bei phpbb2.de aufgeschnappt. Problem bei mir, die genannte Zeile existiert bei mir nicht, ggf. durch einen Mod modifiziert.
Welche ist gemein?

In der Downloads-Erweiterung von Hotschi, welche auch hier verfuegbar ist gibt es eine kritische Sicherheitsluecke, welches den Passworthash eines jeden Benutzers offenlegt.
So wird die Sicherheitsluecke gepatcht:

Code: Alles auswählen

#
#-----[ OPEN ]--------------------------------------------- 
#
downloads.php

#
#-----[ FIND ]---------------------------------------------
#
$sql = "SELECT * FROM " . DOWNLOADS_TABLE . " where cat=".$cat." ORDER by sort";

#
#-----[ BEFORE, ADD ]--------------------------------------
#
$cat = intval($cat);

Trotz dieses Patches ist es gut moeglich, dass weitere Sicherheitsluecken verbleiben. Ich rate von der Verwendung des MODs ab, da saemtliche Benutzereingaben nicht geprueft werden, was auch zu diesem Problem gefuehrt hat.
Die Website des Autors ist auch deaktiviert, da sie (wahrscheinlich wegen dieses Problems) gehackt wurde.

Greetz
alcaeus

Quelle: phpbb2.de

[oxpus]

Ich habe den Fix für den DL-Mod gerade aktualisiert.
Wiederhole die Installation und der Patch ist dann automatisch mit drinnen.

[modbo]

[quote="oxpus - Sa 09.Apr, 2005 16:10";p="28091"]Ich habe den Fix für den DL-Mod gerade aktualisiert.
Wiederhole die Installation und der Patch ist dann automatisch mit drinnen.[/quote]
*lol*

Habs grad gesehen. Hab die geänderten Passagen durch Dateivergleich geändert.
Danke!

[oxpus]

Keine Ursache. War fast Gedankenübertragung!

[schmidtedv]

OXPUS schrieb: Ich habe den Fix für den DL-Mod gerade aktualisiert.

Öhm...deine Änderungen, OXPUS, betreffen aber nicht die Stelle auf die phpBB2 hinweißt, oder hab ich da was übersehen? wo ist dieser Fix?

$cat = intval($cat); gibt's da jedenfalls nicht bei mir trotz all deiner "Fixes"...die Zeile auf die sich modbo bezieht sieht bei mir zudem so aus:

$sql = "SELECT * FROM " . DOWNLOADS_TABLE . " where cat=".$cat." ORDER by sort LIMIT $start, ". $board_config['dl_links_per_page'];

[AmigaLink]

Es sieht zwar anders aus, aber der Fix ist drin!
Und zwar weiter oben im Code, wo die Variable $cat erstellt wird.
Such einfach mal nach intval($cat) und du wirst es finden.

[oxpus]

An der Stelle, wo der Fix eingebaut werden sollte, hatte ich bereits bei der Übernahme aus $HTTP die Variable "geintval". Also einen Tick früher.

[schmidtedv]

.....sorry, entweder ich bin blöd oder ne andere Erweiterung hat sich des geklaut oder ich hab den "Fix" hier net entdeckt bisher...wenn ok hänge ich mal die downloads.php an...allerdings net wundern, sprachvariablen sind die meisten geändert...

[oxpus]

Ist doch alles drinnen

[schmidtedv]

LOL, aber ich finde dieses verflixte intval($cat) nicht von dem hier alle reden....naja :-) dennoch nehm ich nun mal an, das alles ok ist, danke, OXPUS

[oxpus]

Ich wiederhole es zum x-ten Mal:

MEIN FIX ARBEITET AN ANDERER STELLE, HAT ABER DIE SELBE WIRKUNG!!!

[AmigaLink]

Code: Alles auswählen

[s=86]$cat = ( $HTTP_POST_VARS['cat'] ) ? intval($HTTP_POST_VARS['cat']) : intval($HTTP_GET_VARS['cat']);

[oxpus]

Öhrm.
Danke AmigaLink.
Es ist aber auch wieder eine schwere Geburt, das ist...

[schmidtedv]

... :-) net aufregen, OXPUS...das mit dem "an anderer Stelle" zu genau diesem Code-Snippet stand meines Wissens bisher noch nirgends und da selbst AmigaLink meinte ich solle nach genau dieser speziellen Stelle suchen, dachte ich, ich hätte was übersehen. Ist doch da nicht verwunderlich, das ich da nochmal nachfrage, oder? Immerhin solltet Ihr es ja besser wissen als ich :-)

BTW...normalerweise arbeite ich mich durch dererlei Problemchen auch im Stillen erstmal durch, ohne eventuell zu nerven, aber, ohne jetzt zu schmollen, Ihr habt euch da ein bißchen Missverständlich ausgedrückt ---

[AmigaLink]

Bei meinem gestrigem Posting war ich am Laptop und hatte den Code nicht parat, sonst hätte ich die Zeile da bereits gepostet.
Wobei ich allerdings zu dem Zeitpunkt nur vermutet habe das du die Konvertierung an der stelle durchgeführt hast, weil ich es selber auch da gemacht habe.

[oxpus]

Okay, ich nehme alles zurück und behaupte (fast) das Gegenteil

[schmidtedv]

:-) möp....nun, so verbleibe ich mal an dieser Stelle als euer ergebener MOD-Anpasser

2.BTW Warum hat CBACK eigentlich (ok, gehört hier net hin...braucht ja net zu antworten, hehe) nicht von Anfang an nur die common.php für den Tracker genommen....ist das jetzt sicher, das es ausreicht nur an dieser Stelle Angriffe abzuwehren oder sollte man nun erst recht versuchen noch irgendwie ne .htaccess anzulegen (klappt bei mir ja leider net)...?

[oxpus]

Es wurde nicht davon ausgegangen, daß die common.php immer an erster Stelle im Board geladen wurde. Das ist aber doch der Fall, daher reicht der Mod nur in dieser Datei auch aus.
Hinterher ist man eben klüger...

[cback]

NOPE nich ganz
Der Mod ist komplett erneuert, von grund auf sozusagen, das alte Scan Engine hatte in der common.php keine 100%ige Wirkung. Jetzt habe ich ja ein ganz neues Scan Engine entwickelt welches auch in dieser einen Datei ausreicht.

[schmidtedv]

thx an euch beide für die schnelle Antwort :-) (PS: CBACK, für andere Styles würde ich eventuell schon auf deiner Seite dem MOD die <td>'s mittels <td class=row1> z.B. alle austreiben...sonst ist hier IMMER nacharbeiten angesagt. Zudem tut sich subSilver (rein ästhetisch) mit [ Zeige Logdatei | Logdatei herunterladen | Logdatei löschen ] schwer, bzw. hat hier keine Schriftformatierung...naja, net wichtig, aber macht's augenfreundlicher.

Als Erweiterung könnte man dann noch zudem eventuell n Testbutton mit chr( einbauen, das der Admin die Funktionalität auf die Schnelle auch mal prüfen kann...