pragmaMx Support Forum pragmaMx Support Forum

Sicherheitslücke im eBoard

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline DeepThought

  • ***
  • 112
  • +1/-0
Sicherheitslücke im eBoard
« am: 28 März 2006, 14:45:12 »
Moin,

ich bekam eben gerade einen Risenschreck...

Hintergrund: Es sind im eBoard einige Unterforen eingerichtet, auf die nur registrierte User zugreifen dürfen und von diesen auch nur die in den weiteren Optionen zum Forum namentlich aufgeführten.

**** EDIT: hier stand der Exploit *****

Das ist natürlich nicht wirklich prall.

Nun weiß ich ja, dass am eBoard nichts mehr gemacht wird. Aber hier brauche ich echt schnell Hilfe. Es geht hierbei nicht um pillepalle sondern um Menschen, die wirklich in Not sind und einen Schutzraum zwecks Rat und Hilfe brauchen.

Danke für jede Idee.

Gruß

DeepThought
« Letzte Änderung: 28 März 2006, 17:33:19 von Andi »

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
Re: Sicherheitslücke im eBoard
« Antwort #1 am: 28 März 2006, 16:19:41 »
Hi :)

Jop, Fehler erkannt und gebannt...
Vorläufiger Fix anbei.

Einfach die Dateien im eBoard-Modulordner durch die neuen aus dem Zipfile austauschen.

Das eigentliche Problem betrifft nur Boards, die den Zugriff auf bestimmte Foren über die "User-Access Liste" steuern. Unter Umständen können Benutzer, Zugriff auf Foren erhalten, die nur für eine bestimmte Personengruppe freigeschaltet sind.
Eine eigentliche "Schadfunktion" ist dadurch nicht gegeben.

Da in den Dateien aber noch mehr nützliche Fixes eingearbeitet wurden, empfehlen wir auf jeden Fall das Einspielen der neuen Dateien.
Das ist nur ein vorläufiger Fix und wird noch durch ein komplettes Fixpack ergänzt/ersetzt.

Der in einem anderen Forum angezeigte Fix behebt nur einen Teil des Problems und ist nicht ausreichend.

[gelöscht durch Administrator]
« Letzte Änderung: 29 März 2006, 17:20:48 von Andi »
schön´s Grüssle, Andi

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
Re: Sicherheitslücke im eBoard
« Antwort #2 am: 29 März 2006, 17:01:24 »
Das beigefügte Zipfile ist nur für die Version 1.1.a.

Also das normale eBoard, mit installiertem "1.1.a Fixpack"
http://www.pragmamx.org/Downloads-d_op-viewdownload-cid-81.html
« Letzte Änderung: 29 März 2006, 17:29:40 von Andi »
schön´s Grüssle, Andi

Offline DeepThought

  • ***
  • 112
  • +1/-0
Re: Sicherheitslücke im eBoard
« Antwort #3 am: 29 März 2006, 19:47:59 »
Moin Andi,

das war bestimmt keine ganz einfache Kiste und ich hoffe, die Nachtschicht war nicht allzu lang.

Den Fix habe ich installiert und es läuft tadellos.  :thumbup:



Tausend Dank für den schnellen und kompetenten Support.

Gruß

DeepThought

Offline Sam123

  • **
  • 73
  • +0/-0
Re: Sicherheitslücke im eBoard
« Antwort #4 am: 30 März 2006, 08:13:17 »
Auch gerade installiert, keinen Fehler zu sehen. Danke Andi.

Offline Sam123

  • **
  • 73
  • +0/-0
Re: Sicherheitslücke im eBoard
« Antwort #5 am: 30 März 2006, 10:50:46 »
Hab grade was entdeckt, ist mir vorhin gar nicht aufgefallen, war wohl zu offensichtlich.

Wer das Avatar Modul benutzt wird nach dem Fix wohl keine Avatarbildchen mehr im eBoard angezeigt bekommen da die viewthreat.php ja ersetzt wird.

Ich hab -da ich diese Sicherheitslücke in meinem Fall als nicht alzu drastisch ansehe- einfach die viewthreat.php die dem Avatarpack beiliegt wieder hochgeladen (zur Erinnerung  Ordner x: fürs Board ohne Fixpack 1.1.a, Ordner a: für das mit Fixpack) nun geht alles wieder.

In wie weit ich nun damit aber den Fix "vereitelt" hab kann ich leider auch nicht sagen

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
schön´s Grüssle, Andi

Offline Okimen

  • ***
  • 146
  • +0/-0
  • Geschlecht: Männlich
  • Dieses Leben ist eines der härtesten!
Re: Sicherheitslücke im eBoard
« Antwort #7 am: 01 Mai 2006, 07:48:03 »
Hallo Andi,
so das Fixpack für das eboard ist installiert.
Danke eurer tadellosen beschreibung hat alles tadellos geklappt.
Danke!

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
Re: Sicherheitslücke im eBoard
« Antwort #8 am: 05 Juni 2006, 16:53:57 »
schön´s Grüssle, Andi