News - Features - Downloads - Forum - Team - Support - Switch View: Screen
Login - Registrierung - Passwort vergessen
News - Details
Informationen zur ausgewählten Nachricht.

!! Sicherheitshinweis !!
18.09.2009 um 08:36 Uhr - Fr33z3m4n ClanSphere Team
Kommentare (75)
Hinweis an ALLE Benutzer von CSP.

Ja leider betrifft die Lücke, welche die Nacht auf CSP ausgenutzt wurde, auch jeden von euch.
Aber sie ist sehr schnell geschlossen.

Bearbeitet bitte alle die accsss.php im Ordner "/mods/articles".
Diese hat die beiden Einstellungen
 
1.
2.
3.
1. / 2. / ... 
 $axx_file['com_create']  = 1;
$axx_file['com_edit']  = 1;


bitte ändert die 1 bei beiden auf 3. Somit verhindert Ihr, dass Besucher Kommentare verfassen können.

Zu den Umständen, wieso es diese Lücke gibt, werde ich mich jetzt nicht äußern, weil es sonst sein könnte, dass ich mich ein wenig im Ton vergreife gegen über Ex-Membern von CSP.

Ein Fix, wird es demnächst noch offiziell geben.

Mit freundlichen Grüßen
Fr33z3m4n

Kommentare: 75
Seite < 1 2 3 [4]
mipap

26.07.2020

Ort: -
Beiträge: 74
# 61 - 14.11.2009 um 21:21 Uhr

Ob das jemand weiss der nicht so oft oder das erste mal hier rauf guckt?
Ich denk mal das wir uns da nur sorgen machen um "unser" CMS wie es so da steht und das immer mehr Nutzer kommen.
Fr33z3m4n ClanSphere Team

16.03.2022

Ort: Hamm
Beiträge: 11700
# 62 - 15.11.2009 um 14:25 Uhr

14.11.2009 um 21:21 Uhr - mipap:
Ob das jemand weiss der nicht so oft oder das erste mal hier rauf guckt?
Ich denk mal das wir uns da nur sorgen machen um "unser" CMS wie es so da steht und das immer mehr Nutzer kommen.

Berechtigter Einwand.
Jedoch brauch hier keiner Angst haben. Das Projekt wird schon nicht sterben.
Es ist nunmal so, dass es ein Hobby-Projekt ist (ich weiß, wird zu oft gesagt).
Aber es wird weiter daran gearbeitet keine Angst.
TheSorcerer

04.09.2010

Ort: Gelnhausen
Beiträge: 18
# 63 - 19.11.2009 um 12:26 Uhr

Ich bin eben erst auf die zwei letzten News aufmerksam geworden. Leider scheint es keine detailierten Informationen zu geben wo überhaupt das Problem lag. Könnte man hier etwas mehr transparenz zeigen und mal in einem Security Bulletin genau beschreiben wo die Sicherheitsschwachstelle zu finden ist? Security through obscurity hat noch nie besonders geholfen.
KiWi

03.11.2010

Ort: Erfurt
Beiträge: 434
# 64 - 26.11.2009 um 08:32 Uhr

mh...über 2 Monate ist es her das ihr gehackt wurdet und bis heute ist kein offizieller Download der gefixten Dateien zu finden. Ganz ehrlich Leute, auch wenn es ein Hobbyprojekt ist, biete ich doch den Nutzern meines "Hobbyprojektes" wenigstens größtmögliche Sicherheit! Und wenn doch mal was in die Hose geht stell ich schnellst möglich alles zur Verfügung um das Problem aus der Welt zu schaffen. Nicht jeder der mit eurem CMS arbeitet weiß vll. was mit eurer News anzufangen usw.
Ich kenn es so, zumindest ist das bei anständigen Anbietern so, wenn ein Securityfix kommt dann in Form eines Downloads der meine Dateien ersetzt.
Desweiteren möchte ich anmerken das dies kein Fix des eigentlichen Problems ist. Denn was macht ihr wenn ich Besuchern allgemein Kommentare bei mir erlauben möchte und ich mit Captcha arbeite....?! Dann hätte ich die Lücke ja sofort wieder offen....
Dennisen

--

Ort: -
Beiträge: 387
# 65 - 26.11.2009 um 09:01 Uhr

Lade dir das aktuelle SVN runter, da ist der Bug imho gefixt.
KiWi

03.11.2010

Ort: Erfurt
Beiträge: 434
# 66 - 27.11.2009 um 08:01 Uhr

Ja ich lade es mir runter, aber ist das denn Grundvoraussetzung um immer auf dem akt. Stand zu sein, zumindest was die Sicherheit angeht. Wäre echt schlecht wenn es so wäre, denn einige nutzen SVN garnicht, was ansich ja auch net schlimm ist da sich dort eh primär Entwickler austoben sollen.
Ist doch ehrlich nicht zuviel verlangt ein Paket fertig zu machen wo alle geänderten Dateien drin liegen. Wobei ich immernoch der Meinung bin das dies kein Fix des eigentlichen Problems ist, denn die Lücke besteht weiterhin...
Dennisen

--

Ort: -
Beiträge: 387
# 67 - 27.11.2009 um 14:36 Uhr

Im SVN wurde der Bug gefixt, also richtig.
DopeK!cK

17.05.2012

Ort: Syke (nähe Bremen)
Beiträge: 652
# 68 - 27.11.2009 um 16:52 Uhr

Die Lücke besteht nicht mehr weiterhin, die Lücke wurde geschlossen und Benutzerkommentare können somit wieder erlaubt werden. Das ganze ist immoment nur damit verbunden, das man die SVN 'trunk'-Version nutzt.
Was du damit meinst, das sich dort primär Entwickler austoben, verstehe ich nicht ganz. Jeder kann die 'trunk'-Version nutzen, dazu braucht man kein Entwickler sein. Denn die 'trunk'-Version ist immer besser als die alte Releaseversion, es gibt weniger Fehler, sie ist manchmal schneller und auch sicherer.
Im Wiki oder im Forum gibt es Hilfestellung um die SVN zu nutzen. Jeder der ein FTP Programm bedienen kann, sollte das auch mit der SVN hinbekommen.
Seron

31.12.2013

Ort: -
Beiträge: 85
# 69 - 28.11.2009 um 15:40 Uhr

27.11.2009 um 16:52 Uhr - DopeK!cK:
Die Lücke besteht nicht mehr weiterhin, die Lücke wurde geschlossen und Benutzerkommentare können somit wieder erlaubt werden. Das ganze ist immoment nur damit verbunden, das man die SVN 'trunk'-Version nutzt.
Was du damit meinst, das sich dort primär Entwickler austoben, verstehe ich nicht ganz. Jeder kann die 'trunk'-Version nutzen, dazu braucht man kein Entwickler sein. Denn die 'trunk'-Version ist immer besser als die alte Releaseversion, es gibt weniger Fehler, sie ist manchmal schneller und auch sicherer.
Im Wiki oder im Forum gibt es Hilfestellung um die SVN zu nutzen. Jeder der ein FTP Programm bedienen kann, sollte das auch mit der SVN hinbekommen.


Ich bin mir sicher das es viele gibt die eben nicht die trunk-version nutzen und ich bin auch der Meinung das es mal Zeit für ein Update wird.
Horscht

18.05.2024

Ort: -
Beiträge: 765
# 70 - 28.11.2009 um 19:26 Uhr

[meinung]
Ich kann echt nicht verstehen warum hier einige so ungeduldig sind und teilweise ANSPRÜCHE stellen...

Wie die Jungs hier immer wieder drauf hinweisen ist das ein Hobbyprojekt, dass dort halt auch mal etwas schief geht ist in meinen Augen völlig normal. Das sich halt sofort ein Neider findet und sowas ausnutzt ist wiederum unter aller Sau!

Das wir uns große Sorgen um die Sicherheit unserer auf CSP basierenden Webseiten machen müssen denke ich auch nicht...da wär schon längs was gekommen.

VORALLEM gibt es von Clansphere noch keine Hackanleitungen auf diversen Videoplattformen, wie dies bei anderen CMS' der Fall ist.

[/meinung]
KiWi

03.11.2010

Ort: Erfurt
Beiträge: 434
# 71 - 29.11.2009 um 04:59 Uhr

Antwort auf deine Meinung!

Ich finde nach über 2 Monaten ist man net mehr ungeduldig! Somal ich auch nicht nach einer neuen Version gefragt habe sondern nur anspreche das bis heute nichtmal ein Updatepaket der gefixten Dateien zu finden ist (oder wusstest du das man Kommentare wieder erlauben kann weil im SVN die gefixten Dateien liegen????). Desweiteren stelle ich keine Ansprüche außer das man die Sicherheit der User nicht aus den Augen verlieren sollte.

Bis jetzt gibt es nur von Webspell Videos, aber bitte schau mal wieviele Clans Webspell nutzen und wieviele Clansphere. Denke das kann man mit Windows und Linux vergleichen. Was nicht heißt das eins unsicherer ist als das andere. Bei Clansphere gibt es nur net soviele die sie finden. Und wo wir grad bei dem Thema sind. Bitte schau mal wie oft bei Webspell Sicherheitsfixes rauskommen. Lieber habe ich es so als wie hier, denn ich sehe das was passiert. Und bitte sag nicht das viele Fixes schlecht sind, denn selbst Typo3, Joomla, Drupal usw. bringen regelmäßig Fixes raus. Dies kann man aber nur machen wenn auch regelmäßig Lücken aufgedeckt werden, was hier net passiert da die Masse viel zu gering ist. Wenn dann mal ein Pro kommt der legt die Seite in null komma nichts wieder lahm, bin ich mir sicher...


Zuletzt editiert von KiWi, am 29.11.2009 um 05:02 Uhr (2x Editiert)
scennative

10.06.2020

Ort: -
Beiträge: 727
# 72 - 02.12.2009 um 22:08 Uhr

tzz also Horscht, hab so 1 oder 2 Hack anleitungen gefundent aber die waren fürs 2007.

Naja hab auch lange gegoogelt aber bei wepspell kommen ja tausende seiten, bei clansphere vielleicht 1 oder 2 Links die wirklcih was mit Hacken zutun haben.

Naja ist auch egal, auf jedenfall ich bleib bei Cs da ich Webspell nur mal gekostet habe und darauf hin gleich ausgespuckt habe. Designs ja ok, aber (das große Aber!) mit der Admin-Oberfläche und Settings sag ich lieber nix dazu.

So das war mal wieder mein Senf, wer ihn zu scharf findet, sollte einfach nichts mehr lesen von mir

*blub*
KiWi

03.11.2010

Ort: Erfurt
Beiträge: 434
# 73 - 04.12.2009 um 15:08 Uhr

Die ganzen Seiten wo ihr Anleitungen für Hacks findet beziehen sich alle auf alte Versionen und sind längst auch in diesen durch Fixes entschärft wurden, genauso wie bei CSP. Keiner ist perfect, wird aber auch garnicht verlangt. Nur so eine Ruhe seitens der Admins, ich weiß nicht ob das so gut tut. Und mal ehrlich, diese Jahr war echt komisch und mieß für CSP meiner Meinung nach! Erst kam die neue Version total verspätet, dann wurdet ihr gehackt und viele Verbesserungen sind nicht passiert dieses Jahr...ich kann nur hoffen und beten das die nächste Version der Hammer wird. Im Moment hat Webspell was die Masse an Addons und der Qualität des CMSs angeht die Nase vorn...wie gesagt ist meine Meinung!!!
Miraculix

--

Ort: Füssen
Beiträge: 453
# 74 - 04.12.2009 um 15:48 Uhr

naja dass nix mehr vorwärts geht kann man ja nicht sagen:
/trac/clansphere/browser/branches/2009.1/docs/changelog.txt

Und ich denk mal schon allein die Entwicklung des neuen BBcode-Systems war nicht wenig Zeitaufwändig wenn ich mir http://dev.michaschwab.de/bbcode_system_1_0/ mal so durchles...
Und wenn da Kapazitäten reingesteckt werden sind sie natürlich woanders nicht mehr in vollem Ausmass verfügbar. Nur "bemerkt" ein neues BBcode-System der Ottonormalverbraucher halt nicht. d.h. es sticht nicht so ins Auge wie wenn die Admin-Sektion kpl über den haufen geworfen werden würde.

das einzige was mir da abgeht ist:

13.08.2009 um 22:50 Uhr - duRiel:
[..] aber zu 2009.1 hin haben wir ajax eh schon 100% von vorne entwickelt.

Ich bin mir auch sicher dass wir uns um die Sicherheit keine Sorgen machen müssen. Denn schon allein dadurch dass Schwachstellen aufgezeigt wurden und somit dem Entwickler ans Bein gepinkelt wurde, wird er alles drauf und dran setzten um die Lücke (menschenmöglichst) fehlerfrei zu schliessen.

Und es ist ja immer noch jedem selbst überlassen ob und für was CSP verwendet wird. Die Frage ist nur ob man da dann nicht "Vom Regen in die Traufe kommt".

Allerdings ist die Informationsflut die vom CSP-Team kommt nicht gerade überwältigend.
Wünschenswert wäre IMHO eine kleine Auflistung an was mit welcher Priorität gerade gearbeitet wird. Um interessierten Usern einen kleinen Einblick zu gewären was die Entwicklungsabteilung "so triebt". Der Blick in den Bugtracker/Trac ist nicht gerade übersichtlich und informativ.

So Senf fertig.
TheSorcerer

04.09.2010

Ort: Gelnhausen
Beiträge: 18
# 75 - 09.01.2010 um 04:35 Uhr

Tut mir leid das so deutlich sagen zu müssen, aber es ist eine Schande, dass hier noch immer kein Bulletin verlinkt ist in dem

a) die betroffenen Versionen genannt werden
b) beschrieben wird wie die Hacker Zugriff erlangt haben
c) wie der Bug zu fixen ist

Das Hobby-Argument zieht hier einfach nicht. Hier geht es um 30 Minuten Arbeit die entsprechenden Informationen zusammenzutragen und aufzuschreiben. Ich vermute jetzt einfach mal, dass keiner der Verantwortlichen mehr diese Diskussion verfolgt und dass darum noch nichts gekommen ist. So Sachen wie BBCode-Systeme oder an was auch immer man gerade for fun am herum hacken ist, müssen halt einfach warten, wenn man eine Sicherheitslücke im System hat, die eine Root-Escalation erlaubt.
Seite < 1 2 3 [4]

Bitte Login benutzen, um Kommentare zu schreiben.


ClanSphere Project - Mailus - Imprint - Disclaimer - Scriptinfo