Thema: Security-Fix 1 (Gelesen 2562 mal)

germane · « **am:** 10. Februar 2005, 21:03:40 »

@all Poc-Users

Ich habe mir mal erlaubt einen neuen Tread aufzumachen was die Sicherheitslücke betrifft.
Deshalb poste ich hier nochmal Horseman's letzten Eintrag im Thema ... Probleme / Problems -- Hoher Traffic

Eine schnelle Lösung/Fix zum schließen der Sicherheitslücke von letreo ungetestet
schneller fix:

entweder im tmp-ordner eine .htaccess mit folgendem inhalt:
<FilesMatch "^sess_">
Order deny,allow
Deny from all
</FilesMatch>

und/oder in include/class.Chatter.inc folgendes:

class Chatter
{
/**
* every chatter is identified by a uniq nick name
*
* @var string
*/
var $nick = '';

---------------------------------------------------
ersetzen durch:

class Chatter
{
var = '<?die()?>';

/**
* every chatter is identified by a uniq nick name
*
* @var string
*/
var $nick = '';

das müsste es erstmal tun. Ist aber nicht getestet!!

Ich denke, daß dieses Problem doch eher jetzt hierher gehört.

germane · « **Antwort #1 am:** 10. Februar 2005, 21:24:34 »

Hallo Horseman

Ich habe mal die Änderungen vorgenommen, und getestet.
Im Tmp-Ordner die .htaccess-datei angelegt und vorsichtshalber die class.Chatter.inc auch bearbeitet.

Folgender Fehler trat auf:

Code: [Auswählen]

Parse error: parse error, unexpected '=', expecting T_VARIABLE in /usr/export/www/vhosts/funnetwork/hosting/xxxxxx/poc301/include/class.Chatter.inc on line 47

erzeugt durch den Eintrag: var = '<?die()?>'; ... (wegen fehlendem, falschen oder nicht definierten Variablennamen.)

Ich habe es nun meiner Meinung nach so eingetragen:

Code: [Auswählen]

class POC_Chatter
{

 var $nick = '<?die()?>';

  /**
  * every chatter is identified by a uniq nick name
  *
  * @var string
  */
  var $nick = '';

Nun läuft der Chat wieder, aber ob das nun richtig ist weiß ich nicht.

gruß germane

Horseman · « **Antwort #2 am:** 10. Februar 2005, 21:44:11 »

Ich habe es getestet es kommt der Fehler 403 Keine Berechtigung

Gruß
Horseman

germane · « **Antwort #3 am:** 10. Februar 2005, 21:59:27 »

Für was keine Berechtigung. Zum Chatten?
Es geht doch als Gast oder als angemeldeter User.

germane

Horseman · « **Antwort #4 am:** 10. Februar 2005, 22:08:46 »

Klar konnte ich chatten, ich habe den Security Fix getestet und wenn ich auf das Zugreifen möchte was man konnte kommt nun diese Fehlermeldung.
Ich komme also nicht mehr an die besagten Daten drann ;-)

Gruß
Horseman

germane · « **Antwort #5 am:** 11. Februar 2005, 20:28:16 »

Zitat von: Horseman am 10. Februar 2005, 22:08:46

Klar konnte ich chatten, ich habe den Security Fix getestet und wenn ich auf das Zugreifen möchte was man konnte kommt nun diese Fehlermeldung.
Ich komme also nicht mehr an die besagten Daten drann ;-)

Gruß
Horseman

Na das liest sich doch sehr gut. Dann wäre ja der Sicherheitsbug gefixt?

lg germane

rath3734 · « **Antwort #6 am:** 14. Februar 2005, 11:52:17 »

Hai,
nach meinem Verständnis wirkt jetzt nur die Datei .htaccess.
in class.Chatter.inc wird
$nick = '<?die()?>;
ein paar Zeilen weiter - nach dem Kommentar - wieder aufgehoben durch
$nick = '';
Ich denke diese Zeile muss auskommentiert werden, oder täusche ich mich da?
rath3734

POC -PhpOpenChat- Portal

Neuigkeiten:

Dein Menü

Menü

Spenden

Anzeige Amazon

Shops

Chartermember

Informationen

Bookmark

Werbung

Autor Thema: Security-Fix 1 (Gelesen 2562 mal)

germane

Security-Fix 1

germane

Re: Security-Fix

Horseman

Re: Security-Fix

germane

Re: Security-Fix

Horseman

Re: Security-Fix

germane

Re: Security-Fix

rath3734

Re: Security-Fix

POC -PhpOpenChat- Portal

Bequem im Web suchen direkt von hier!

Anzeige

Kalender

Unser Server

Domain Frei?

Anzeige

Multi Suche

Networks