News - Features - Downloads - Forum - Team - Support - Switch View: Screen
Login - Registrierung - Passwort vergessen
News - Details
Informationen zur ausgewählten Nachricht.

Sicherheitsfix für ClanSphere 2009
01.05.2010 um 21:46 Uhr - duRiel ClanSphere Team
Kommentare (17)
Hi Community,

Stefan Esser von PHP Security hat ClanSphere auf Herz und Nieren geprüft und ist auf 2 Sicherheitslöcher gestoßen. Bei dem einen konnten wir uns kein Anwendungsbeispiel denken, dafür ist die zweite Lücke um so kritischer, mit dessen Hilfe man an Administratorrechte gelangen kann.

Von diesem sind alle MySQL Benutzer von ClanSphere 2009 betroffen.

Hier gibt es das Hotfix Updatepaket, die relevanten Änderungen sind im Changeset 3803 und 3808 zu erkennen.

Da die Sicherheitslöcher bei PHP Security wahrscheinlich noch morgen veröffentlicht werden, ist mit Scriptkiddies zu rechnen, die diese ausnutzen und Euch damit schaden möchten. Tut Euch selbst einen Gefallen und beugt dem vor, in dem Ihr möglichst schnell die Sicherheitsupdates installiert.

Euer ClanSphere Team

Hinweis: Zum Updaten reicht die Datei "ClanSphere_2009.0.3.1_de_en_update.zip"!
Link: Hotfix Updatepaket

Kommentare: 17
Seite [1]
GumJack85

18.05.2011

Ort: -
Beiträge: 11
# 1 - 01.05.2010 um 23:01 Uhr

sofort eingespielt. Danke für eure Mühen! (erster)
Sylar

12.01.2016

Ort: -
Beiträge: 197
# 2 - 01.05.2010 um 23:26 Uhr

Zweiter!
hajo ClanSphere Team

--

Ort: Barsbüttel
Beiträge: 10036
# 3 - 01.05.2010 um 23:35 Uhr

mit postgresql wäre das nicht passiert *hust*
Sheppard

24.06.2014

Ort: -
Beiträge: 49
# 4 - 02.05.2010 um 01:16 Uhr

zum glück nutze ich postgres
flyingdevil

03.12.2018

Ort: -
Beiträge: 83
# 5 - 02.05.2010 um 01:45 Uhr

wenn ich das einspiel sind alle meine änderungen weg,codesnips undsw.
gibs nicht die möglichkeit mir zukommen zu lassen was ich ändern muss,ohne alles zu plätten
Spongebob

18.08.2013

Ort: Kassel
Beiträge: 337
# 6 - 02.05.2010 um 01:58 Uhr

du brauchst nur das updatepaket laden , nicht das ganze paket
http://sourceforge.net/projects/clansphere/files/ClanSphere%20Updates/2009.0.3.1 /ClanSphere_2009.0.3.1_de_en_update.zip/download

und was genau geändert wurde in den dateien, ist in der news verlinkt...


Zuletzt editiert von Spongebob, am 02.05.2010 um 02:13 Uhr (1x Editiert)
Jam2 ClanSphere Team

16.04.2024

Ort: -
Beiträge: 3377
# 7 - 02.05.2010 um 08:37 Uhr

http://trac.clansphere.de/csp/changeset/3803/
http://trac.clansphere.de/csp/changeset/3808/

Das sind die 2 Zeilen Code die geändert wurden. ^^
flyingdevil

03.12.2018

Ort: -
Beiträge: 83
# 8 - 02.05.2010 um 12:09 Uhr

danke sehr
duRiel ClanSphere Team

25.10.2015

Ort: Cambridge
Beiträge: 7806
# 9 - 02.05.2010 um 12:18 Uhr

das steht auch in den news ..
rockfire

08.12.2012

Ort: -
Beiträge: 3
# 10 - 02.05.2010 um 14:55 Uhr

Danke
aschti

18.01.2019

Ort: -
Beiträge: 828
# 11 - 03.05.2010 um 01:00 Uhr

thx - gemacht
Mindcrime

13.04.2024

Ort: -
Beiträge: 1211
# 12 - 03.05.2010 um 09:37 Uhr

Erstens gibts noch immer denselben fehler in cs_sql_count() von system/database/mysql.php

Zweitens, waehre es nicht besser angebracht um cs_getip() zu fixen anstatt nur auf eine stelle ein cs_sql_escape zu tun?
Es gibt mehrere stelle und vielleicht auch externe module die cs_getip() benutzen. Die luecke ist im prinzip auch da drin, weil es moeglicherweise eine ungueltige ip string zurueck schickt.

When X-Forwarded-For headers gefaked und misbraucht wurden, dan kann man doch besser ueberpruefen ob die wert der header ein valid ip addresse hat/ergibt?

Noch was ueber cs_getip():

X-Forwarded-For kan MEHRERE IP'S haben (komma separiert), wenn man ueber mehrere (reverse) proxies connected zum beispiel...

http://en.wikipedia.org/wiki/X-Forwarded-For
The general format of the header is:

X-Forwarded-For: client1, proxy1, proxy2


Daneben gibts noch genuegend andere stellen in code die REMOTE_ADDR nemen anstatt cs_getip benutzten...



Zuletzt editiert von Mindcrime, am 03.05.2010 um 15:26 Uhr (4x Editiert)
hajo ClanSphere Team

--

Ort: Barsbüttel
Beiträge: 10036
# 13 - 03.05.2010 um 18:05 Uhr

erstens: done im svn

zweitens: remote_addr ist nun überall durch cs_getip ersetzt im svn

drittens: x-forwarded usw bitte ich mal duriel sich das anzusehen

vielen dank für die informationen mindcrime
Mindcrime

13.04.2024

Ort: -
Beiträge: 1211
# 14 - 03.05.2010 um 20:55 Uhr

The vendor already released a fixed version of ClanSphere 2009.3.1. However in his release announcement he claims that for MOPS we checked ClanSphere very deeply by using the german expression “auf Herz und Nieren geprüft”. This is however not true. ClanSphere like any other application was only checked for less than 30 minutes. You should always remind that when looking at the vulnerabilities found during SQL Injection Marathon. Each of these vulnerabilities was found in less than 30 minutes so they were easy to find and therefore most probably long known by blackhats.


Nicht luegen jungs...
Marckrele

26.07.2012

Ort: H-U
Beiträge: 186
# 15 - 03.05.2010 um 21:36 Uhr

Gerade erst die Mitteilung auf hp gelesen.
bei sourceforge.net kommt beim Versuch die Datei zu laden aber:
> <
O

Error 404

404 Not Found
The resource could not be found.


Jmd ´n Plan warum?
Grüße
hajo ClanSphere Team

--

Ort: Barsbüttel
Beiträge: 10036
# 16 - 03.05.2010 um 21:59 Uhr

keine ahnung, wie duriel darauf gekommen ist. seh das jetzt auch erst wirklich, wo ich die news mal im detail lese ^^
Mindcrime

13.04.2024

Ort: -
Beiträge: 1211
# 17 - 04.05.2010 um 08:57 Uhr

ich wurde vorschlagen fuer cs_getip() etwa sowas:
anstatt
 
1.
1. / 2. / ... 
   return $ip;

folgendes
 
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
1. / 2. / ... 
   // check for multiple ip's
  
$pos stripos($ip',');
  if (
$pos !== false)
      
$ip trim(substr($ip0$pos));
  
$allow '0123456789.';
  
// TODO IPv6: $allow = '0123456789.abcdefABCDEF:';
  
if (strspn($ip$allow) == strlen($ip))
      return 
$ip;
  
// not sure what to return yet
  
return '0.0.0.0';


Ab PHP 5.2 ist folgendes besser:

 
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
1. / 2. / ... 
   // check for multiple ip's in case of multiple forwarders^M
  
$pos stripos($ip',');
  if (
$pos !== false)
    
$ip trim(substr($ip0$pos));
  
// optional extra flags: FILTER_FLAG_IPV4, FILTER_FLAG_IPV6, FILTER_FLAG_NO_PRIV_RANGE, FILTER_FLAG_NO_RES_RANGE
  
if (filter_var($ipFILTER_VALIDATE_IP) === false)
  {
    return 
'0.0.0.0';
  }
  return 
$ip;




Zuletzt editiert von Mindcrime, am 23.06.2010 um 08:33 Uhr (5x Editiert)

Bitte Login benutzen, um Kommentare zu schreiben.


ClanSphere Project - Mailus - Imprint - Disclaimer - Scriptinfo