[Sicherheitshinweis] RtR - Nickpage

Begonnen von RiotheRat, 13 Oktober 2004, 18:51:26

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

RiotheRat

Auf technische Details werde ich an dieser Stelle nicht eingehen - Trittbrettfahrer und Scriptkiddies gibt es genügend im Netz. Es ist eine betrübliche Tatsache dass bei geschickter Ausnutzung einer Lücke in meinem Modul, hier im Bildupload, schadhafter Code (getarnt als Image) in das System eingeschleust werden kann!

Diese Lücke wurde jetzt soweit geschlossen - eine nochmalige Steigerung der Modulsicherheit wird im nächsten Update-Rollover erfolgen, dann werden aber serverseitig die

exif extension
oder
GD library

erforderlich sein. Die GD library muss dann wenigstens "GIF Read Support" unterstützen.

Ich bitte alle User welche die Nickpage einsetzen aus Sicherheitsgründen hier die aktuelle Version der Nickpage herunter zu laden! Betroffen von dieser Lücke sind alle Versionen (= 5.5 - 7.x).

Die Version für Nuke 5.5 - 6.0 wurde bereits gefixt, diese könnt Ihr am Header der "index.php" erkennen. Diese Datei hat die Versionsnummer "Ver.: 1.1 SR1". Der Code ist nicht verschlüsselt oder komprimiert.

Der Download für die Versionen 6.5 - 7.x wurde ebenfalls gefixt und kann hier herunter geladen werden. Diese Datei hat in der "index.php" als Unterscheindungsmerkmal den Zusatz "(SR1)" im Dateiheader.

Für die Unannehmlichkeiten die Euch durch diese Vorsichtsmassnahme entstehen bitte ich um Euer Verständnis.
Unaufgeforderte PNs & Emails werden ignoriert

Erst wenn die letzte Zeile Code verhunzt, der letzte Server gehackt und der letzte Script-Kidde befriedigt ist, erst dann, werdet Ihr feststellen, dass Nuke nicht sicher ist...

jubilee

Hallo !
ZitatFür die Unannehmlichkeiten die Euch durch diese Vorsichtsmassnahme entstehen bitte ich um Euer Verständnis.
Unsinn ! Es ist auf jedenfall besser, das das Modul sicher ist als das es einige kleine Unannehmlichkeiten gibt.
Danke das Du uns hier auf dem laufenden hälst.
MfG
jubilee

DarkBoy

Gebe ich meinem Kollegen recht!
Was mal ein LOB an Dich dann ist das du es auch überall bekannt gibst usw.
Das ist nicht selbstverständlich und sowas BELOBE ich immer und dafür gibts einen
<<<<PLONK>>>>

jubilee

Zitatund dafür gibts einen
<<<<PLONK>>>>

genau. Schließe ich mich an !

RiotheRat

Es sollte eine Selbstverständlichkeit sein die Nutzer zu informieren. Genauso wie es eine Selbstverständlichkeit sein sollte sichere Scripte zu entwickeln. Irgendwo rutscht immer was durch, dessen bin ich mir auch bewusst.

Von einer Verheimlichung von Löchern hat niemand was - die Leute vertrauen den Entwicklern und daher auch die offene Informationspolitik. Ich will nicht schuld sein wenn eine Webpräsenz wegfliegt ...

RtR
Unaufgeforderte PNs & Emails werden ignoriert

Erst wenn die letzte Zeile Code verhunzt, der letzte Server gehackt und der letzte Script-Kidde befriedigt ist, erst dann, werdet Ihr feststellen, dass Nuke nicht sicher ist...

_Gerry_

Zitat von: RiotheRat am 13 Oktober 2004, 20:56:26
Es sollte eine Selbstverständlichkeit sein die Nutzer zu informieren. Genauso wie es eine Selbstverständlichkeit sein sollte sichere Scripte zu entwickeln. Irgendwo rutscht immer was durch, dessen bin ich mir auch bewusst.

Von einer Verheimlichung von Löchern hat niemand was - die Leute vertrauen den Entwicklern und daher auch die offene Informationspolitik. Ich will nicht schuld sein wenn eine Webpräsenz wegfliegt ...

RtR
Sicher kleine Fehler können immer mal passieren!  ;)
Leider gibt es ja auch solche bei denen es nicht passiert, sondern absichtlich gemacht wird!

Aber da du ja einer von denjenigen bist die genauso auf Sicherheit aus sind und dies auch den anderen zugute kommen lässt,
gibt es auch von mir nen
<<<<PLONK>>>>

l.g.
Gerry
CMS-Version: pragmaMx 0.1.11, 1.33.2.12.2.9/2009-05-10   
PHP-Version: 5.2.0-8+etch5~pu1
MySQL-Version: 5.0.32-Debian_7etch1
Server-Version: Apache/2.2.3 (Debian) mod_ssl/2.2.3 OpenSSL/0.9.8c

fjuergens

Wollte mir das Update oder bzw. die Version von der angebenen Seite downloaden.

Dazu muss ich aber erst ein ganze VK Packet kaufen.

Das finde ich toll.....


Gibts keinen Link für die Überarbeitete Version OHNE eine ganze VK kaufen zu müssen ???
mit netten Grüßen aus Athen / GR
F.Juergens

fjuergens

Zitat von: RiotheRat am 13 Oktober 2004, 18:51:26
Auf technische Details werde ich an dieser Stelle nicht eingehen - Trittbrettfahrer und Scriptkiddies gibt es genügend im Netz. Es ist eine betrübliche Tatsache dass bei geschickter Ausnutzung einer Lücke in meinem Modul, hier im Bildupload, schadhafter Code (getarnt als Image) in das System eingeschleust werden kann!

Diese Lücke wurde jetzt soweit geschlossen - eine nochmalige Steigerung der Modulsicherheit wird im nächsten Update-Rollover erfolgen, dann werden aber serverseitig die

exif extension
oder
GD library

erforderlich sein. Die GD library muss dann wenigstens "GIF Read Support" unterstützen.

Ich bitte alle User welche die Nickpage einsetzen aus Sicherheitsgründen hier die aktuelle Version der Nickpage herunter zu laden! Betroffen von dieser Lücke sind alle Versionen (= 5.5 - 7.x).

Die Version für Nuke 5.5 - 6.0 wurde bereits gefixt, diese könnt Ihr am Header der "index.php" erkennen. Diese Datei hat die Versionsnummer "Ver.: 1.1 SR1". Der Code ist nicht verschlüsselt oder komprimiert.

Der Download für die Versionen 6.5 - 7.x wurde ebenfalls gefixt und kann hier herunter geladen werden. Diese Datei hat in der "index.php" als Unterscheindungsmerkmal den Zusatz "(SR1)" im Dateiheader.

Für die Unannehmlichkeiten die Euch durch diese Vorsichtsmassnahme entstehen bitte ich um Euer Verständnis.



Alles Prima alles Toll...
aber die Seite ist leer... ales schon per Download abgezogen..
und nun ????
mit netten Grüßen aus Athen / GR
F.Juergens

RiotheRat

Hmmm ... hattest Du glaube ich hier -->> http://board.pragmamx.de/index.php?topic=11098.msg81495#msg81495 schon gefragt  ;)

Liky hat die Downloads umgestellt, steht auch dick und fett auf der Startseite ... und Deine Frage habe ich in dem verlinkten Thread und hier hoffentlich beantwortet  ???

RtR
Unaufgeforderte PNs & Emails werden ignoriert

Erst wenn die letzte Zeile Code verhunzt, der letzte Server gehackt und der letzte Script-Kidde befriedigt ist, erst dann, werdet Ihr feststellen, dass Nuke nicht sicher ist...