pragmaMx Support Forum

News & Wichtiges => Hinweise zu Sicherheitslöchern & Risiken => Thema gestartet von: RiotheRat in 13 Oktober 2004, 18:51:26

Titel: [Sicherheitshinweis] RtR - Nickpage
Beitrag von: RiotheRat in 13 Oktober 2004, 18:51:26
Auf technische Details werde ich an dieser Stelle nicht eingehen - Trittbrettfahrer und Scriptkiddies gibt es genügend im Netz. Es ist eine betrübliche Tatsache dass bei geschickter Ausnutzung einer Lücke in meinem Modul, hier im Bildupload, schadhafter Code (getarnt als Image) in das System eingeschleust werden kann!

Diese Lücke wurde jetzt soweit geschlossen - eine nochmalige Steigerung der Modulsicherheit wird im nächsten Update-Rollover erfolgen, dann werden aber serverseitig die

exif extension
oder
GD library

erforderlich sein. Die GD library muss dann wenigstens "GIF Read Support" unterstützen.

Ich bitte alle User welche die Nickpage einsetzen aus Sicherheitsgründen hier (http://www.liky.de/modules.php?name=Downloads&d_op=viewdownload&cid=27) die aktuelle Version der Nickpage herunter zu laden! Betroffen von dieser Lücke sind alle Versionen (= 5.5 - 7.x).

Die Version für Nuke 5.5 - 6.0 wurde bereits gefixt, diese könnt Ihr am Header der "index.php" erkennen. Diese Datei hat die Versionsnummer "Ver.: 1.1 SR1". Der Code ist nicht verschlüsselt oder komprimiert.

Der Download für die Versionen 6.5 - 7.x wurde ebenfalls gefixt und kann hier (http://www.liky.de/modules.php?name=Downloads&d_op=viewdownload&cid=27) herunter geladen werden. Diese Datei hat in der "index.php" als Unterscheindungsmerkmal den Zusatz "(SR1)" im Dateiheader.

Für die Unannehmlichkeiten die Euch durch diese Vorsichtsmassnahme entstehen bitte ich um Euer Verständnis.
Titel: Re: [Sicherheitshinweis] RtR - Nickpage
Beitrag von: jubilee in 13 Oktober 2004, 20:25:37
Hallo !
ZitatFür die Unannehmlichkeiten die Euch durch diese Vorsichtsmassnahme entstehen bitte ich um Euer Verständnis.
Unsinn ! Es ist auf jedenfall besser, das das Modul sicher ist als das es einige kleine Unannehmlichkeiten gibt.
Danke das Du uns hier auf dem laufenden hälst.
MfG
jubilee
Titel: Re: [Sicherheitshinweis] RtR - Nickpage
Beitrag von: DarkBoy in 13 Oktober 2004, 20:39:26
Gebe ich meinem Kollegen recht!
Was mal ein LOB an Dich dann ist das du es auch überall bekannt gibst usw.
Das ist nicht selbstverständlich und sowas BELOBE ich immer und dafür gibts einen
<<<<PLONK>>>>
Titel: Re: [Sicherheitshinweis] RtR - Nickpage
Beitrag von: jubilee in 13 Oktober 2004, 20:47:49
Zitatund dafür gibts einen
<<<<PLONK>>>>

genau. Schließe ich mich an !
Titel: Re: [Sicherheitshinweis] RtR - Nickpage
Beitrag von: RiotheRat in 13 Oktober 2004, 20:56:26
Es sollte eine Selbstverständlichkeit sein die Nutzer zu informieren. Genauso wie es eine Selbstverständlichkeit sein sollte sichere Scripte zu entwickeln. Irgendwo rutscht immer was durch, dessen bin ich mir auch bewusst.

Von einer Verheimlichung von Löchern hat niemand was - die Leute vertrauen den Entwicklern und daher auch die offene Informationspolitik. Ich will nicht schuld sein wenn eine Webpräsenz wegfliegt ...

RtR
Titel: Re: [Sicherheitshinweis] RtR - Nickpage
Beitrag von: _Gerry_ in 13 Oktober 2004, 21:12:08
Zitat von: RiotheRat in 13 Oktober 2004, 20:56:26
Es sollte eine Selbstverständlichkeit sein die Nutzer zu informieren. Genauso wie es eine Selbstverständlichkeit sein sollte sichere Scripte zu entwickeln. Irgendwo rutscht immer was durch, dessen bin ich mir auch bewusst.

Von einer Verheimlichung von Löchern hat niemand was - die Leute vertrauen den Entwicklern und daher auch die offene Informationspolitik. Ich will nicht schuld sein wenn eine Webpräsenz wegfliegt ...

RtR
Sicher kleine Fehler können immer mal passieren!  ;)
Leider gibt es ja auch solche bei denen es nicht passiert, sondern absichtlich gemacht wird!

Aber da du ja einer von denjenigen bist die genauso auf Sicherheit aus sind und dies auch den anderen zugute kommen lässt,
gibt es auch von mir nen
<<<<PLONK>>>>

l.g.
Gerry
Titel: Re: [Sicherheitshinweis] RtR - Nickpage
Beitrag von: fjuergens in 10 Februar 2005, 22:54:48
Wollte mir das Update oder bzw. die Version von der angebenen Seite downloaden.

Dazu muss ich aber erst ein ganze VK Packet kaufen.

Das finde ich toll.....


Gibts keinen Link für die Überarbeitete Version OHNE eine ganze VK kaufen zu müssen ???
Titel: Re: [Sicherheitshinweis] RtR - Nickpage
Beitrag von: fjuergens in 10 Februar 2005, 22:56:51
Zitat von: RiotheRat in 13 Oktober 2004, 18:51:26
Auf technische Details werde ich an dieser Stelle nicht eingehen - Trittbrettfahrer und Scriptkiddies gibt es genügend im Netz. Es ist eine betrübliche Tatsache dass bei geschickter Ausnutzung einer Lücke in meinem Modul, hier im Bildupload, schadhafter Code (getarnt als Image) in das System eingeschleust werden kann!

Diese Lücke wurde jetzt soweit geschlossen - eine nochmalige Steigerung der Modulsicherheit wird im nächsten Update-Rollover erfolgen, dann werden aber serverseitig die

exif extension
oder
GD library

erforderlich sein. Die GD library muss dann wenigstens "GIF Read Support" unterstützen.

Ich bitte alle User welche die Nickpage einsetzen aus Sicherheitsgründen hier (http://www.liky.de/modules.php?name=Downloads&d_op=viewdownload&cid=27) die aktuelle Version der Nickpage herunter zu laden! Betroffen von dieser Lücke sind alle Versionen (= 5.5 - 7.x).

Die Version für Nuke 5.5 - 6.0 wurde bereits gefixt, diese könnt Ihr am Header der "index.php" erkennen. Diese Datei hat die Versionsnummer "Ver.: 1.1 SR1". Der Code ist nicht verschlüsselt oder komprimiert.

Der Download für die Versionen 6.5 - 7.x wurde ebenfalls gefixt und kann hier (http://www.liky.de/modules.php?name=Downloads&d_op=viewdownload&cid=27) herunter geladen werden. Diese Datei hat in der "index.php" als Unterscheindungsmerkmal den Zusatz "(SR1)" im Dateiheader.

Für die Unannehmlichkeiten die Euch durch diese Vorsichtsmassnahme entstehen bitte ich um Euer Verständnis.



Alles Prima alles Toll...
aber die Seite ist leer... ales schon per Download abgezogen..
und nun ????
Titel: Re: [Sicherheitshinweis] RtR - Nickpage
Beitrag von: RiotheRat in 11 Februar 2005, 13:16:10
Hmmm ... hattest Du glaube ich hier -->> http://board.pragmamx.de/index.php?topic=11098.msg81495#msg81495 schon gefragt  ;)

Liky hat die Downloads umgestellt, steht auch dick und fett auf der Startseite ... und Deine Frage habe ich in dem verlinkten Thread und hier (http://www.liky.de/modules.php?name=Forums&file=viewtopic&t=26) hoffentlich beantwortet  ???

RtR