News - Details |
Informationen zur ausgewählten Nachricht. |
!! Sicherheitshinweis !! | ||
18.09.2009 um 08:36 Uhr - Fr33z3m4n
Kommentare (75)
|
||
Hinweis an ALLE Benutzer von CSP. Ja leider betrifft die Lücke, welche die Nacht auf CSP ausgenutzt wurde, auch jeden von euch. Aber sie ist sehr schnell geschlossen. Bearbeitet bitte alle die accsss.php im Ordner "/mods/articles". Diese hat die beiden Einstellungen
bitte ändert die 1 bei beiden auf 3. Somit verhindert Ihr, dass Besucher Kommentare verfassen können. Zu den Umständen, wieso es diese Lücke gibt, werde ich mich jetzt nicht äußern, weil es sonst sein könnte, dass ich mich ein wenig im Ton vergreife gegen über Ex-Membern von CSP. Ein Fix, wird es demnächst noch offiziell geben. Mit freundlichen Grüßen Fr33z3m4n |
Kommentare: 75
|
|
mId3 -- Ort: - Beiträge: 156 |
# 21 - 18.09.2009 um 11:23 Uhr
so sieht es bei mir aus : <?php // ClanSphere 2009 - www.clansphere.net // $Id: access.php 3009 2009-05-03 14:57:11Z hajo $ $axx_file['view'] = 2; $axx_file['manage'] = 3; $axx_file['create'] = 3; $axx_file['edit'] = 4; $axx_file['remove'] = 5; |
----x 28.11.2015 Ort: - Beiträge: 332 |
# 22 - 18.09.2009 um 11:31 Uhr
Jungs... einfach mal lesen -_- |
UnKn0wn 02.05.2023 Ort: - Beiträge: 1215 |
# 23 - 18.09.2009 um 11:52 Uhr
da kommt noch mehr in der datei guckt bitte weiter unten. |
Mindcrime 13.04.2024 Ort: - Beiträge: 1211 |
# 24 - 18.09.2009 um 13:40 Uhr
Eh, hab ich das nur oder ist das nicht ein algemeines commentar problem wie auch in andere module? Weil der code von com_create und com_edit nicht anders ist wie andere module wie zb news... |
hoernertee 29.08.2015 Ort: - Beiträge: 116 |
# 25 - 18.09.2009 um 14:27 Uhr
Stimme Mindcrime zu. Muss man das jetzt in jedem Mod ändern für die com_create und com_edit? Bitte um Antwort. Danke |
FranzAUT 19.02.2015 Ort: - Beiträge: 471 |
# 26 - 18.09.2009 um 16:19 Uhr
Nein nur in der "/mods/articles/accsss.php" Und achtet darauf.... RICHTIG $axx_file['com_create'] = 3; $axx_file['com_edit'] = 3; FALSCH hier nichts ändern. (Sind andere einträge nicht für die Kommentare zuständig) $axx_file['create'] = 3;
$axx_file['edit'] = 4; Zuletzt editiert von FranzAUT, am 18.09.2009 um 16:20 Uhr (1x Editiert) |
RaPiD -- Ort: - Beiträge: 1214 |
# 27 - 18.09.2009 um 16:25 Uhr
Hallo Freezeman, wird den ein älteres backup der SQL nochmal drauf gespielt? Weil es sind alle Theards mit Hacked by god, die so zu lassen bringt doch nichts mehr da alle comments weg sind und alle lössungen und etc. Es wäre sinvoller wieder ein backup drauf zu spielen danke freezeman. |
----x 28.11.2015 Ort: - Beiträge: 332 |
# 28 - 18.09.2009 um 19:34 Uhr
Omg bitte... nicht sofort rumflamen sondern einfach lesen -_- |
Gringo00 18.09.2009 Ort: - Beiträge: 20 |
# 29 - 18.09.2009 um 19:47 Uhr
Wär mal gut zu wissen, welche potentiellen Gefahren ich durch diese Maßnahme abwehre. Werde das kommende Wochenende wohl dazu nutzen, die CSP am FTP auszudünnen und nur mehr das drauf laufen zu lassen, was auch in Verwendung ist. Es ist wirklich traurig, daß man sich so ein non-profit Projekt für das Ausleben seines Geltungsdrangs aussucht. |
z0ra^ 16.03.2010 Ort: - Beiträge: 19 |
# 30 - 19.09.2009 um 14:28 Uhr
Danke für den Hinweis, wurde umgehend erledigt |
duRiel 25.10.2015 Ort: Cambridge Beiträge: 7806 |
# 31 - 20.09.2009 um 22:07 Uhr
man konnte kommentare bearbeiten und verfassen damit. |
Mindcrime 13.04.2024 Ort: - Beiträge: 1211 |
# 32 - 20.09.2009 um 23:31 Uhr
20.09.2009 um 22:07 Uhr - duRiel: man konnte kommentare bearbeiten und verfassen damit. Und was ist der unterschied zwisschen andere module wo man das auch machen kann? Weil der anruf von die comments mod ist diesselbe, und der code auch, nur ein anderes modul name... |
Fr33z3m4n 16.03.2022 Ort: Hamm Beiträge: 11700 |
# 33 - 21.09.2009 um 09:04 Uhr
Die Rechte sind das Problem. Besucher dürfen keine Kommentare bearbeiten. In den jeweiligen Modulen ggf. erstellen, aber editieren ist wie man merkte tötlich. |
Thore 30.08.2010 Ort: - Beiträge: 81 |
# 34 - 21.09.2009 um 17:07 Uhr
öhm da ist man übers we net da und dann sieht man wieder sowas das ihr gehackt worden seit is csp langsam überhaupt noch sicher ? ich werde glaube nach und nach die seiten die ich auf csp gehostet habe down nehmen wenn das so weiter geht.. |
nenTi 03.08.2011 Ort: Paderborn Beiträge: 129 |
# 35 - 22.09.2009 um 17:32 Uhr
Bei so einem großen Projekt kommt es leider gelegendlich auch zu unachtsamkeiten seitens der coder. Normalerweise bieten wir durch das "4 Augen Prinzip" und die sehr gut ausgearbeiteten core Funktionen ein maximales Maß an Sicherheit an. Leider hat sich in diesem Fall ein Sicherheitslücke eingeschlichen, das ist unschön aber dank des schnellen securityfix verkraftbar. Das CSP Team ist sich sehr wohl der Wichtigkeit von Systemsicherheit bewusst und diese wird auch auf regelmäßigen Treffen thematisiert. Wenn du stets die aktuelle CSP Version nutzt bist du auf der Sicheren Seite |
berti29 21.06.2011 Ort: - Beiträge: 3 |
# 36 - 22.09.2009 um 22:34 Uhr
Vielen Dank für den Hinweis!! Super Service! mfg |
Thore 30.08.2010 Ort: - Beiträge: 81 |
# 37 - 22.09.2009 um 23:50 Uhr
ah csp sooo sicher deswegen auch die page net aktuell gewesen usw. so viel dazu zur sicherheit wa ... bevor man was rausbring sollte man es auf sicherheits lücken testen |
alexteam 18.12.2020 Ort: - Beiträge: 194 |
# 38 - 23.09.2009 um 03:17 Uhr
Einige Verstehe ich wirklich nicht, CSP ist ein echt super CMS und ich arbeite gern damit. Es ist verständlich das sich Fehler einschleichen und das auch ärgerlich ist. Ist aber der erste Fehler so lange ich dabei bin und das sagt doch schon alles. Hier arbeiten eben auch nur Menschen die auch ab und an einen Fehler machen. Die Coder haben doch alles getan die Lücke zu finden und zu schließen. Und so ein kleiner Fix tut keinem weh! DANKE AN DAS CSP TEAM UND MACHT WEITER SO!! Zuletzt editiert von alexteam, am 23.09.2009 um 03:18 Uhr (1x Editiert) |
Fr33z3m4n 16.03.2022 Ort: Hamm Beiträge: 11700 |
# 39 - 23.09.2009 um 07:44 Uhr
ah csp sooo sicher deswegen auch die page net aktuell gewesen usw. so viel dazu zur sicherheit wa ... bevor man was rausbring sollte man es auf sicherheits lücken testen Zwingt dich irgendjemand CSP zu nutzen ? Nein Hält dich jemand ab, etwas anderes zu nutzen ? Nein Sind wir Menschen? Ja Wir brauchen hier nicht über Sicherheit rund um CSP diskutieren. Noch Fragen ? Zuletzt editiert von Fr33z3m4n , am 23.09.2009 um 07:44 Uhr (1x Editiert) |
Mindcrime 13.04.2024 Ort: - Beiträge: 1211 |
# 40 - 23.09.2009 um 11:08 Uhr
22.09.2009 um 23:50 Uhr - damaskus: ah csp sooo sicher deswegen auch die page net aktuell gewesen usw. so viel dazu zur sicherheit wa ... bevor man was rausbring sollte man es auf sicherheits lücken testen Ich kann da nur eins gegen sagen: Vergleich mal die derzeitige ClanSphere version (von coding, aufbau und sicherheit) mit andere Clan CMS systeme oder CMS portals. Ich habe mit genuegend von diese andere gearbeitet, neue module entwikkelt, gecoded oder mir angesehen. Wenn du denkst das ClanSphere unsicher ist, dan kennst du die andere CMS systeme gar nicht. Was da alles fuer grobe luecken und schlechten code drin ist, da ist ClanSphere schon 100 mal besser, obwohl auch nicht ideal... Kein einziges system ist 100% sicher... Und was hat aktuell sein der ClanSphere page zu tun mit die sicherheit des derzeitigen code? Das die keine prioritaet hatten das zu updaten hat damit zu tun das sie arbeiten am neuen code... |
Bitte Login benutzen, um Kommentare zu schreiben. |