SECURITY-BUG im Newsletter-Modul 1.6 von www.bariba.de

Begonnen von Joschau, 18 Mai 2002, 16:41:11

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Joschau

Der Bug bewirkt, dass man mit wenig Aufwand

- die eingetragenen EMail-Adressen auslesen kann

- einen Newsletter unter Nutzung des Moduls versenden kann

http://www.tp-krefeld.de/articles.php?sid=10
Weitere Infos und Download des Fixes

Beste Grüße

Jochem

[Bearbeitet am: 18/5/2002 von Joschau]

Deepsky

auf jedenfall die alte index sichern, bei mir klappt es nicht!!

Deepsky

Andi

Hi Joschau,

ist der Eintrag in der function adminsend () Absicht?
   require("auth.inc.php");
Diese Datei existiert auf Standardnuke nicht. Ist da die normale auth.php gemeint?
schön´s Grüssle, Andi

Deepsky

Hi Andi,
wenn ich das auf auth.php ändere lüppt es.

Gruß Deep

Joschau

ui...

Bei mir hieß die auth.php auth.inc.php ... mal ganz erstaunt guck...

Jedenfalls steht jetzt ein neuer Download mit der richtigen Bezeichnung nämlich auth.php bereit...


Andi

Yep ;)

Danke für den Tip und den Fix Joschau.

Wäre nett wenn Du den Download auch hier anbieten würdest.

v.G.
Andi
schön´s Grüssle, Andi


Donald

Hallo
ich habe die inde.php ausgewechselt und einen Newsletter geschrieben...
in der Textversion habe ich jetzt Artikel mit zig \\\\\\\\\\\" als Link
und in der HTML Version ist jeder Artikel nach einem Banner komplett als Link von dem Banner gelinkt.
Könnt ihr das ändern oder mir sagen wo ich es selber ändern kann?
Mist stelle gerade fest das nicht ein Link funktioniert... das Ding scheint nicht auf 5.5 angepasst zu sein.
Ist wohl besser den Bug aus meiner alten Index.php herauszunehmen...
weiß zufällig jemand wie das geht?

Gruß


[Bearbeitet am: 18/5/2002 von Donald]

Joschau

Den Fehler kann ich leider nicht nachvollziehen...

Bei mir funktioniert der Newsletter nach dem Fix einwandfrei...

Donald

Hi
mit welcher Nukeversion arbeitest Du denn?
Bei mir (5.5) funktioniert es nicht...
ich hab zum Beispiel keine $nukeurl/article.php? mehr... die steckt bei mir jetzt in den Modules als News.php (wenn ich nicht irre)...
ich denke für 5.5 ist es nicht geeignet.
Ich bin einfach mal so frech und leite die beiden Newsletter an deine E-Mail-Adresse weiter, schau es dir mal an.

Gruß

[Bearbeitet am: 21/5/2002 von Donald]

Joschau

Nu is mir klar, was Du willst...

ich denke mal drüber nach...

Joschau

Gute Anmerkung, Donald ;)

Also, nu sind zwei Download-Fixes verfügbar...wer Donalds Probleme auch hat, soll sich nochmal die andere Version runterladen.

http://www.tp-krefeld.de/modules.php?name=Downloads
Zu den Downloads[Bearbeitet am: 19/5/2002 von Joschau]

Donald

Moin
ich hab mir also das Fix index-55.zip bei Dir geholt, installiert, Newsletter neu geschrieben.... und wieder den selben Fehler...
statt einem Modules/News.php wird wieder articles.php bei den Links aufgerufen.
(Hier gehts zum Artikel.
http://www.mcsparsam.de/article.php?)
Die Fehler der unsauberen Link-Abschlüsse sind auch noch da.
Wenn zB. in der HTML Version einen Banner einbinde, wird die Überschrift des nachfolgenden Artikles mit als Link des Banners übernommen, manchmal sogar der gesamte Text.
In der Textversion werden Artikel die ein " im Artikel haben, so \\\\\" dargestellt, diese \\\\" potenzionieren sich mit jedem neuen Artikel... solange bis irgendwann der Server nicht mehr antwortet. Mit der neuen index.php werden diese \\\\\" jetzt als Link dargestellt, wenn man ihn anklickt will das Mailprogi einen Dateianhang speichern.... sehr komisch... :-((
ich bin mir auch fast zu 95% sicher das diese \\\\ beim alten index.php, während des Absendes des Newsletters entfernt wurden.
Ich sende Dir meine News nochmal zu...

Gruß
[Bearbeitet am: 21/5/2002 von Donald]

Joschau

Moin zurück ;)

Sei mir nicht böse, aber ich wage ernsthaft zu bezweifeln, dass das etwas mit meinem Fix zu tun hat...bereits in der index.php vom Newsletter, die mit dem VKP ausgeliefert wird, werden die Links mit der article.php generiert (siehe unter function AdminAddStory().

Der Fehler leigt also nicht bei meinem Fix sondern in der Grundfassung...sollte das nicht jemand anders machen, werde ich das bei Gelegenheit mal debuggen...

Joschau

Ich hab mal versucht, den Link-Bug zu fixen...eine neue index-55.php steht zum Download.

Den /////////////Bug kann ich aber auf die schnelle nicht finden...

DarkBoy

Hi
wir schauen uns das morgen mal an !  denke ist wieder nen fehler der so offensichtlich ist das man ihn nihct sieht!
 in den anstehenden VKP Updates  wird es dann alles behoben  sein :)

Donald

Hallo Joschau
sei Du mir auch nicht böse, aber Du hast das Fix für 5.5 angeboten... wir wollen aber hier zu Pfingsten nicht streiten... Du hast Recht in der Grundversion sind die Fehler auch schon drin... ich denke aber nicht so gravierend... ich kann mich aber auch irren. Ich habe mir mal eben die VKP 5.5 hier heruntergeholt... dort ist auch im Newsletter der Fehler mit der article.php drin... in der VKP kann der Newsletter also so auch nicht funktionieren...
komisch das da noch keiner drüber gefallen ist.
Ich bin aber froh das sich jetzt jemand diesem Problem annimmt, der Hersteller des Script tut es leider nicht.

Gruß
Donald  und schöne Pfingsten noch
[Bearbeitet am: 21/5/2002 von Donald]

DarkBoy

Hi
ja ist komisch ich bin auch nie  auf den fehler gekommen, da iwr unsere Newsletter immer   ratzefatze in Dreamweaver  erstellen und einsetzen :)   daher.

Steht auf der ToDo Liste  und  geht  mit  in die nächsten VKP Versionen

Joschau

Hi Donald!

Ich bin Dir auch nicht böse ;)

Ich hatte nur auf die bekannt hervorragende Arbeit der VKP-Ersteller (malebenzudenadminsrüberschleim) vertraut und war davon ausgegangen, dass die Links im Newsletter gefixt wären für die 5.5Version...deshalb war ich gar nicht auf den Gedanken gekommen, dass zu überprüfen, weil ich -genau wie Du- dachte, dass es dann schon lange hätte auffallen müssen...

@ DarkBoy:

Wenn Du willst, kann ich Euch den Newsletter VKP-fertig machen...ich hab ja nun eh schon angefangen...musst mir nur sagen, ob ihr das wollt und bis wann ihr es dann braucht?!

Beste Grüße

Jochem

DarkBoy

Hi Joschau,
das wäre fein !  dann kann ich den von meiner ToDo Liste streichen:)

Joschau

...und die Zeitvorgabe?

Ich denke nicht, dass ich es vor Ende Mai fertig kriege?!

Donald

Hi
gebt Ihr dann hier bitte einen kurze Nachricht wenns fertig ist und zum download bereit steht?
Danke