UBB.Developers Forums UBB.classic V6.4 - 6.7 Modifications International Support Sicherheitslücke in UBB 5.47x

Hallo zusammen,

mehr zufällig bin ich über diesen Thread gestolpert...
es ist erschreckend: es funktioniert sogar

ich werd mal schauen, wie ich diese lücke schließen kann und dann dazu den code posten. ich finde es fatal, das man so einfach jedes privatforum in der V5.47 ausspionieren kann.



Grüße aus FFM
joking

auf ein neues...

Nicht vergessen: bevor man anfängt erstmal ne Sicherheitskopie machen !!!


Bearbeitet werden muß die postings.cgi.

in sub Reply nach
folgenden Code einfügen:


in sub EditPost nach
folgenden Code einfügen:

so... mit diesem modifikationen sollte diese art des zugriffe unterbunden sein...

ich habe die Modifikation bei mir im board eingebaut und noch keine fehler entdeckt. sollten autorisierte user trotzdem ausgesperrt werden, bitte hier bescheidgeben, dann kann der fehler behoben werden...



Grüße aus FFM
joking

[ 11-29-2001 08:57 PM: Message edited by: joking-down ]

das Verzeichnis $CGIPath/logs muß manuell erstellt werden (chmod 0777).

hmmm

das ist aber ein uralter exploit und wurde glaub ich in 5.47x gefixt, wenn ich das richtig in erinnerung habe.
5.47e hat (hatte) immernoch ein problem damit, dass moderatoren, die zugriff auf ein privates forum haben, auf alle privaten foren zugreifen können.
das wurde glaub ich irgendwann im frühjahr gefixt, die kunden wurden aber nicht darüber informiert. ausser ich habs übersehn...

ich guck ma im bugtraq archiv, da müsste das alles noch irgendwo stehn.

so...

cookies per javascript auslesen (schwere sicherheitslücke):
http://cert.uni-stuttgart.de/archive/bugtraq/2001/02/msg00405.html
charles antwort darauf (gefixt in 5.47e):
http://cert.uni-stuttgart.de/archive/bugtraq/2001/02/msg00416.html
....
das problem mit den privaten foren:
http://cert.uni-stuttgart.de/archive/bugtraq/2001/04/msg00077.html
navaho´s antwort:
http://cert.uni-stuttgart.de/archive/bugtraq/2001/04/msg00117.html

das problem "sollte" eigentlich gefixt sein.

stimmt... aber wieviele user benutzen noch versionen vor der gepatchten 5.47e? diese user haben das problem...

ok, es ist nicht mehr die neußte version, aber ich denke mal, das viele nicht updatenm das ihr system läuft...

ja, das ist ganz sicher ein problem. infopop wird das auch wissen...

nur denke ich, man muss bei sowas abwägen, ob es besser ist, die kunden darüber zu informieren - oder halt nicht.

wenn so ein exploit in so ner bugtraq liste steht, wird den jeder entdecken der sich für sowas interessiert.
ich habs auch damals schon gelesen, als das thema aktuell war.
nur - es lesen halt immer nur einige.
wenn das problem im infopop forum gestanden hätte, wüsste gleich jeder darüber bescheid und es wären dem sicher noch mehr foren, als ohnehin schon, zum opfer gefallen. die wenigesten kunden würden glaub ich überhaupt bemerken, dass es ein sicherheitsproblem gibt, weil sie nie ins infopop forum gucken.

ich finde die situation so zwar nicht optimal, aber akzeptabel.

ich kenne nur noch zwei ubb5 foren die ich regelmäßig besuche. alle andern, die nicht auf ubb6 umgestiegen sind, nutzen mitlerweile ein anderes system.
ganz so dramatisch seh ich das problem jetzt nichtmehr. vorallem weil ich ubb 5 etwas "out of date" finde, da gibt es bessere (kostenlose) systeme.