News - Details |
Informationen zur ausgewählten Nachricht. |
Sicherheitsfix für ClanSphere 2009 |
01.05.2010 um 21:46 Uhr - duRiel
Kommentare (17)
|
Hi Community, Stefan Esser von PHP Security hat ClanSphere auf Herz und Nieren geprüft und ist auf 2 Sicherheitslöcher gestoßen. Bei dem einen konnten wir uns kein Anwendungsbeispiel denken, dafür ist die zweite Lücke um so kritischer, mit dessen Hilfe man an Administratorrechte gelangen kann. Von diesem sind alle MySQL Benutzer von ClanSphere 2009 betroffen. Hier gibt es das Hotfix Updatepaket, die relevanten Änderungen sind im Changeset 3803 und 3808 zu erkennen. Da die Sicherheitslöcher bei PHP Security wahrscheinlich noch morgen veröffentlicht werden, ist mit Scriptkiddies zu rechnen, die diese ausnutzen und Euch damit schaden möchten. Tut Euch selbst einen Gefallen und beugt dem vor, in dem Ihr möglichst schnell die Sicherheitsupdates installiert. Euer ClanSphere Team Hinweis: Zum Updaten reicht die Datei "ClanSphere_2009.0.3.1_de_en_update.zip"! |
Link: Hotfix Updatepaket |
Kommentare: 17
Seite [1] |
|||||||
GumJack85 18.05.2011 Ort: - Beiträge: 11 |
# 1 - 01.05.2010 um 23:01 Uhr
sofort eingespielt. Danke für eure Mühen! (erster) |
||||||
Sylar 12.01.2016 Ort: - Beiträge: 197 |
# 2 - 01.05.2010 um 23:26 Uhr
Zweiter! |
||||||
hajo -- Ort: Barsbüttel Beiträge: 10036 |
# 3 - 01.05.2010 um 23:35 Uhr
mit postgresql wäre das nicht passiert *hust* |
||||||
Sheppard 24.06.2014 Ort: - Beiträge: 49 |
# 4 - 02.05.2010 um 01:16 Uhr
zum glück nutze ich postgres |
||||||
flyingdevil 03.12.2018 Ort: - Beiträge: 83 |
# 5 - 02.05.2010 um 01:45 Uhr
wenn ich das einspiel sind alle meine änderungen weg,codesnips undsw. gibs nicht die möglichkeit mir zukommen zu lassen was ich ändern muss,ohne alles zu plätten |
||||||
Spongebob 18.08.2013 Ort: Kassel Beiträge: 337 |
# 6 - 02.05.2010 um 01:58 Uhr
du brauchst nur das updatepaket laden , nicht das ganze paket http://sourceforge.net/projects/clansphere/files/ClanSphere%20Updates/2009.0.3.1 /ClanSphere_2009.0.3.1_de_en_update.zip/download und was genau geändert wurde in den dateien, ist in der news verlinkt... Zuletzt editiert von Spongebob, am 02.05.2010 um 02:13 Uhr (1x Editiert) |
||||||
Jam2 16.04.2024 Ort: - Beiträge: 3377 |
# 7 - 02.05.2010 um 08:37 Uhr
http://trac.clansphere.de/csp/changeset/3803/ http://trac.clansphere.de/csp/changeset/3808/ Das sind die 2 Zeilen Code die geändert wurden. ^^ |
||||||
flyingdevil 03.12.2018 Ort: - Beiträge: 83 |
# 8 - 02.05.2010 um 12:09 Uhr
danke sehr |
||||||
duRiel 25.10.2015 Ort: Cambridge Beiträge: 7806 |
# 9 - 02.05.2010 um 12:18 Uhr
das steht auch in den news .. |
||||||
rockfire 08.12.2012 Ort: - Beiträge: 3 |
# 10 - 02.05.2010 um 14:55 Uhr
Danke |
||||||
aschti 18.01.2019 Ort: - Beiträge: 828 |
# 11 - 03.05.2010 um 01:00 Uhr
thx - gemacht |
||||||
Mindcrime 13.04.2024 Ort: - Beiträge: 1211 |
# 12 - 03.05.2010 um 09:37 Uhr
Erstens gibts noch immer denselben fehler in cs_sql_count() von system/database/mysql.php Zweitens, waehre es nicht besser angebracht um cs_getip() zu fixen anstatt nur auf eine stelle ein cs_sql_escape zu tun? Es gibt mehrere stelle und vielleicht auch externe module die cs_getip() benutzen. Die luecke ist im prinzip auch da drin, weil es moeglicherweise eine ungueltige ip string zurueck schickt. When X-Forwarded-For headers gefaked und misbraucht wurden, dan kann man doch besser ueberpruefen ob die wert der header ein valid ip addresse hat/ergibt? Noch was ueber cs_getip(): X-Forwarded-For kan MEHRERE IP'S haben (komma separiert), wenn man ueber mehrere (reverse) proxies connected zum beispiel... http://en.wikipedia.org/wiki/X-Forwarded-For The general format of the header is: X-Forwarded-For: client1, proxy1, proxy2 Daneben gibts noch genuegend andere stellen in code die REMOTE_ADDR nemen anstatt cs_getip benutzten... Zuletzt editiert von Mindcrime, am 03.05.2010 um 15:26 Uhr (4x Editiert) |
||||||
hajo -- Ort: Barsbüttel Beiträge: 10036 |
# 13 - 03.05.2010 um 18:05 Uhr
erstens: done im svn zweitens: remote_addr ist nun überall durch cs_getip ersetzt im svn drittens: x-forwarded usw bitte ich mal duriel sich das anzusehen vielen dank für die informationen mindcrime |
||||||
Mindcrime 13.04.2024 Ort: - Beiträge: 1211 |
# 14 - 03.05.2010 um 20:55 Uhr
The vendor already released a fixed version of ClanSphere 2009.3.1. However in his release announcement he claims that for MOPS we checked ClanSphere very deeply by using the german expression “auf Herz und Nieren geprüft”. This is however not true. ClanSphere like any other application was only checked for less than 30 minutes. You should always remind that when looking at the vulnerabilities found during SQL Injection Marathon. Each of these vulnerabilities was found in less than 30 minutes so they were easy to find and therefore most probably long known by blackhats. Nicht luegen jungs... |
||||||
Marckrele 26.07.2012 Ort: H-U Beiträge: 186 |
# 15 - 03.05.2010 um 21:36 Uhr
Gerade erst die Mitteilung auf hp gelesen. bei sourceforge.net kommt beim Versuch die Datei zu laden aber: > < O Error 404 404 Not Found The resource could not be found. Jmd ´n Plan warum? Grüße |
||||||
hajo -- Ort: Barsbüttel Beiträge: 10036 |
# 16 - 03.05.2010 um 21:59 Uhr
keine ahnung, wie duriel darauf gekommen ist. seh das jetzt auch erst wirklich, wo ich die news mal im detail lese ^^ |
||||||
Mindcrime 13.04.2024 Ort: - Beiträge: 1211 |
# 17 - 04.05.2010 um 08:57 Uhr
ich wurde vorschlagen fuer cs_getip() etwa sowas: anstatt
folgendes
Ab PHP 5.2 ist folgendes besser:
Zuletzt editiert von Mindcrime, am 23.06.2010 um 08:33 Uhr (5x Editiert) |
Bitte Login benutzen, um Kommentare zu schreiben. |