Sicherheitslücke im eBoard

Begonnen von DeepThought, 28 März 2006, 14:45:12

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

DeepThought

Moin,

ich bekam eben gerade einen Risenschreck...

Hintergrund: Es sind im eBoard einige Unterforen eingerichtet, auf die nur registrierte User zugreifen dürfen und von diesen auch nur die in den weiteren Optionen zum Forum namentlich aufgeführten.

**** EDIT: hier stand der Exploit *****

Das ist natürlich nicht wirklich prall.

Nun weiß ich ja, dass am eBoard nichts mehr gemacht wird. Aber hier brauche ich echt schnell Hilfe. Es geht hierbei nicht um pillepalle sondern um Menschen, die wirklich in Not sind und einen Schutzraum zwecks Rat und Hilfe brauchen.

Danke für jede Idee.

Gruß

DeepThought

Andi

#1
Hi :)

Jop, Fehler erkannt und gebannt...
Vorläufiger Fix anbei.

Einfach die Dateien im eBoard-Modulordner durch die neuen aus dem Zipfile austauschen.

Das eigentliche Problem betrifft nur Boards, die den Zugriff auf bestimmte Foren über die "User-Access Liste" steuern. Unter Umständen können Benutzer, Zugriff auf Foren erhalten, die nur für eine bestimmte Personengruppe freigeschaltet sind.
Eine eigentliche "Schadfunktion" ist dadurch nicht gegeben.

Da in den Dateien aber noch mehr nützliche Fixes eingearbeitet wurden, empfehlen wir auf jeden Fall das Einspielen der neuen Dateien.
Das ist nur ein vorläufiger Fix und wird noch durch ein komplettes Fixpack ergänzt/ersetzt.

Der in einem anderen Forum angezeigte Fix behebt nur einen Teil des Problems und ist nicht ausreichend.

[gelöscht durch Administrator]
schön´s Grüssle, Andi

Andi

#2
Das beigefügte Zipfile ist nur für die Version 1.1.a.

Also das normale eBoard, mit installiertem "1.1.a Fixpack"
http://www.pragmamx.org/Downloads-d_op-viewdownload-cid-81.html
schön´s Grüssle, Andi

DeepThought

Moin Andi,

das war bestimmt keine ganz einfache Kiste und ich hoffe, die Nachtschicht war nicht allzu lang.

Den Fix habe ich installiert und es läuft tadellos.  :thumbup:



Tausend Dank für den schnellen und kompetenten Support.

Gruß

DeepThought

Sam123

Auch gerade installiert, keinen Fehler zu sehen. Danke Andi.

Sam123

Hab grade was entdeckt, ist mir vorhin gar nicht aufgefallen, war wohl zu offensichtlich.

Wer das Avatar Modul benutzt wird nach dem Fix wohl keine Avatarbildchen mehr im eBoard angezeigt bekommen da die viewthreat.php ja ersetzt wird.

Ich hab -da ich diese Sicherheitslücke in meinem Fall als nicht alzu drastisch ansehe- einfach die viewthreat.php die dem Avatarpack beiliegt wieder hochgeladen (zur Erinnerung  Ordner x: fürs Board ohne Fixpack 1.1.a, Ordner a: für das mit Fixpack) nun geht alles wieder.

In wie weit ich nun damit aber den Fix "vereitelt" hab kann ich leider auch nicht sagen

Andi

schön´s Grüssle, Andi

Okimen

Hallo Andi,
so das Fixpack für das eboard ist installiert.
Danke eurer tadellosen beschreibung hat alles tadellos geklappt.
Danke!

Andi

schön´s Grüssle, Andi