Download Mod von Hotschi unsicher!!!

Hier die Newsecke (Kein Support!)
Antworten
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Download Mod von Hotschi unsicher!!!

Beitrag von oxpus »

Wie auf phpbb.de gemeldet, ist der Download Mod von Hotschi unsicher.
Es kann über die downloads.php angeblich das Passwort eines jeden Users ausgelesen werden.

OXPUS.de ist bestmöglichst geschützt und die Downloads sind freigegeben!
Es wird aber ausdrücklich davor gewarnt, den Download Mod ohne weiterere Sicherheitsvorkehrungen in Betrieb zu nehmen!


Ganz wichtig ist dieser Fix: http://www.oxpus.de/ftopic-1420.html
Und dazu auch diesen Artikel lesen: http://www.oxpus.de/kb.php?mode=article&k=35
Und dieses Topic zum Schluss: http://www.oxpus.de/ftopic-3000.html

Als extrem empfehlenswert sei der ctrack eXtreme Mod von CBack genannt! Erhältlich auf http://www.community.cback.de

Original Mitteilung: http://www.phpbb.de/viewtopic.php?t=86258
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
themanticors
Beiträge: 9
Registriert: Mo 09.Mai, 2005 16:04
Wohnort: Istanbul
Kontaktdaten:

Beitrag von themanticors »

ja ich habs doch gestern eingebaut und wieder schon eine sicherheitslücke.welchen mod ich auch einbaue hat eine sicherheitslücke.hoffe das es schnell gelöst wird damit ich es benutzen kann.auserdem verbiete ich mir ab jetzt irgend einen mod einzubauen.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Keine Sorge, ich bleibe am Ball.
Mein Fix sollte in der Regel ausreichen, ich hatte den bisher erfolgreich getestet, d.h. Rest-SQL-Injections waren erfolglos.
Da aber auch ich mittlerweile Zweifel habe, warte ich ab, was die Jungs auf phpbb.de zu meinem Fix sagen.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
modbo
Beiträge: 1344
Registriert: Mo 13.Dez, 2004 11:18
Kontaktdaten:

Beitrag von modbo »

>Versuche, die Downloads hier aufzurufen führen ab sofort nur zum Index. Das gilt für Downloads.php ebenso wie für load.php.

Wie richtet man sich das denn möglichst unkompliziert ein? Müsste auch für das Portal gelten, wegen den recent downloads.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Füge in der downloads.php und load.php einfach nach dem Session Management diese Zeile ein:

Code: Alles auswählen

redirect(append_sid("index.$phpEx"));
und der Rest kann so bleiben. Vorerst...
Statt "index" kann selbstverständlich auch eine andere Seite verwendet werden.
Eine Hinweisseite vielleicht...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
modbo
Beiträge: 1344
Registriert: Mo 13.Dez, 2004 11:18
Kontaktdaten:

Beitrag von modbo »

Danke für die schnelle Antwort. Habs einfach auf die interne Ankündigung geleitet.

Code: Alles auswählen

redirect(append_sid("viewtopic.$phpEx?t=xxx"));

//edit: Leider noch nichts neues wegen der Sicherheitslücke bei phpBB.de :(
Zuletzt geändert von modbo am Mi 11.Mai, 2005 01:03, insgesamt 2-mal geändert.
ToXic
Beiträge: 103
Registriert: Fr 04.Mär, 2005 10:37

Re: Download Mod von Hotschi unsicher!!!

Beitrag von ToXic »

[quote="oxpus - Di 10.Mai, 2005 09:24";p="31226"]Wie auf phpbb.de gemeldet, ist der Download Mod von Hotschi unsicher.
[/quote]

Hi,
vielleicht passt meine Frage hier ja nicht, dennoch möchte ich sicher gehen. Ich betreibe das PlusBoard 1.52. Dort ist auch ein Download MOD enthalten an dem ich seit der Installation des Boards nichts nachträglich geändert habe. In der Hacks/Mods Liste ist aber kein Wort von Hotschi erwähnt. Dort steht bei mir "Download Mod pafiledb with MX Addon v0.0.9d". Sollte ich jetzt (nur um sicherzugehen) meine Downloads deaktivieren?

Thx 4 Help
MfG
ToXic
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Hi ToXic,
nein brauchst du nicht, das betrifft nur der DL-MOD von Hotschi, den was du benutzt ist ein andere sind also 2 verschiedenen.

Gruß SuesseMaus28884
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
themanticors
Beiträge: 9
Registriert: Mo 09.Mai, 2005 16:04
Wohnort: Istanbul
Kontaktdaten:

Beitrag von themanticors »

[quote="oxpus - Di 10.Mai, 2005 09:45";p="31229"]Keine Sorge, ich bleibe am Ball.
Mein Fix sollte in der Regel ausreichen, ich hatte den bisher erfolgreich getestet, d.h. Rest-SQL-Injections waren erfolglos.
Da aber auch ich mittlerweile Zweifel habe, warte ich ab, was die Jungs auf phpbb.de zu meinem Fix sagen.[/quote]

hi oxpus was wurde mit deinem fix.klappt es oder nicht.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Also ohne weitere Sicherheiten, ausser denen im phpBB 2.0.15, kann ich mit meinem Fix keine unerlaubte Abfrage durchführen und auch kein Passwort Hash auslesen.
Daher gehe ich davon aus, das mein Fix nicht nur einen Bug, sondern auch die angeführte Sicherheitslücke schliesst.

Und solange mir eben keiner das Gegenteil beweist, behaupte ich mal frech: Lücke geschlossen!

Dennoch auf jeden Fall alle im ersten Post aufgeführten Beiträge durchgehen und die entsprechenden zusätzlichen Maßnahmen ergreifen.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
themanticors
Beiträge: 9
Registriert: Mo 09.Mai, 2005 16:04
Wohnort: Istanbul
Kontaktdaten:

Beitrag von themanticors »

dann sagst du das 2.0.15 die sicherheitlücke schliest.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Öh, das phpBB selber hat Lücken und davon werden alle bekannten mit dem 2.0.15 geschlossen.
Das hat aber nichts mit dem Download-Mod zu tun!
Was ich sagen wollte, ist, daß der Download Mod auf einem Vanilla phpBB inklusive meinem Fix im Test nicht geklackt werden konnte.
Daher deklariere ich den Download Mod mit meinem Fix als Sicher gegen die besagte Lücke.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Twins

Beitrag von Twins »

Ist mit "Download-Mod" der Attchment-Mod gemeint oder was meint ihr damit?
modbo
Beiträge: 1344
Registriert: Mo 13.Dez, 2004 11:18
Kontaktdaten:

Beitrag von modbo »

Nein. Gemeint ist der Download Mod von Hotschi ( Beispiel )
Zuletzt geändert von modbo am So 15.Mai, 2005 17:25, insgesamt 1-mal geändert.
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Eben der Download Mod von Hotschi, wäre der Attchment-Mod gemeint hätte sicher auch dann gestande das Attchment-Mod gemeint ist :)

Gruß SuesseMaus28884
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Der Attachment Mod ist auch von Acyd Burn und nicht von Hotschi ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Antworten