anpera.net

anpera.net

experimental server @home
Aktuelle Zeit: Do 28 Mär, 2024 12:43

Alle Zeiten sind UTC + 1 Stunde




Ein neues Thema erstellen Auf das Thema antworten  [ 12 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: Kritische Sicherheitslücke
BeitragVerfasst: Fr 31 Mär, 2006 23:14 
Offline
Admin
Admin
Benutzeravatar

Registriert: Di 21 Jan, 2003 01:11
Beiträge: 1604
Wohnort: Haßfurt
Geschlecht: Männlich
LoGD: http://www.anpera.net/logd
Skype: anpera-net
Sharielle hat mich eben auf eine sehr kritische Sicherheitslücke in der source.php aufmerksam gemacht! Betroffen davon sind alle LoGD-Versionen vor 0.9.8, also auch alle 0.9.7 ext GER Versionen und alle Versionen vor 0.9.7. Auch gemoddete source.phps scheinen ausnahmslos davon betroffen zu sein.

[UPDATE]
Version 0.9.8 und alle Versionen 1.0.x sind ebenfalls davon betroffen, falls in der Admin-Grotte der Zugang zum Source freigegeben wurde.

[UPDATE 2]
Version 1.0.6 (und 1.1.0 ;) ) ist nicht davon betroffen!


Bitte führt so bald wie möglich und bis auf Weiteres folgende Notlösung in der source.php durch, um eure Server zu schützen:

[php]//// Finde:
$subdir = str_replace("\\","/",dirname($_SERVER['SCRIPT_NAME'])."/");

//// Danach einfügen:
while(substr($subdir,0,2)=="//" ){
$subdir = substr($subdir,1);
}[/php]

(Nein, das ist leider kein Aprilscherz und die Lücke ist wirklich äußerst kritisch!)

_________________
Praxis ist, wenn alles klappt aber keiner weiß warum. Theorie ist, wenn man weiß wie es geht, aber nichts klappt. Wir haben beides erfolgreich vereinigt: Bei uns klappt nichts und keiner weiß warum!

Neues Video: Marios freier Tag in Second Life


Zuletzt geändert von anpera am So 02 Apr, 2006 16:24, insgesamt 2-mal geändert.

Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags:
BeitragVerfasst: Sa 01 Apr, 2006 14:23 
Offline
Freak
Freak
Benutzeravatar

Registriert: Di 11 Okt, 2005 18:11
Beiträge: 680
Wohnort: Wohnzimmer
Geschlecht: Männlich
LoGD: www.omega-grotte.de
Darf man fragen..was es genau verursacht?
Oder was das genau für ein Fehler ist?

Mfg die unwissenden :lol:

_________________
Die Frage lautet: Herr? Bist du das Göttliche?
Daraufhin meint er nur: Ich bin es, aber warum fragst du?

Mein Game zur Zeit Offline...


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags:
BeitragVerfasst: Sa 01 Apr, 2006 15:47 
Offline
Freak
Freak
Benutzeravatar

Registriert: Di 02 Mär, 2004 18:16
Beiträge: 1206
ähm wieso sollte er es verraten? es gibt hier genug menschen, die dies ausnutzen könnten ;)

_________________
R.I.P.
†26.7.2004 - 20.3.2006†
†MeteorA†


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags:
BeitragVerfasst: Sa 01 Apr, 2006 16:02 
Offline
Freak
Freak
Benutzeravatar

Registriert: Di 11 Okt, 2005 18:11
Beiträge: 680
Wohnort: Wohnzimmer
Geschlecht: Männlich
LoGD: www.omega-grotte.de
Man sollte schon wissen,was man da eigentlich verändert

mfg

_________________
Die Frage lautet: Herr? Bist du das Göttliche?
Daraufhin meint er nur: Ich bin es, aber warum fragst du?

Mein Game zur Zeit Offline...


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags:
BeitragVerfasst: Sa 01 Apr, 2006 16:18 
Offline
Freak
Freak
Benutzeravatar

Registriert: Sa 28 Aug, 2004 18:48
Beiträge: 1712
nein. Änderungen von anpera sollte man als gegeben hinnehmen und dankbar sein, dass er sowas der öffentlichkeit mitteilt. Ich wäre schockiert, wenn er hier beschreiben würde, was es für eine Lücke ist, und jeder der ein "Spinner" ist und hier liest, alle logdsourcen abgeht um zu testen wo der noch nicht gefixed ist.


lg :)

_________________
~Inaktiv und Abwesend solange Mysql hier Moderatorenrechte hat~


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags:
BeitragVerfasst: Sa 01 Apr, 2006 16:24 
Offline
Admin
Admin
Benutzeravatar

Registriert: Di 21 Jan, 2003 01:11
Beiträge: 1604
Wohnort: Haßfurt
Geschlecht: Männlich
LoGD: http://www.anpera.net/logd
Skype: anpera-net
[UPDATE!]
Version 1.0.x ist ebenfalls davon betroffen, falls in der Admingrotte der Zugang zum Source freigegeben wird! Fix ist der selbe.

---

Nun, wenn ich von einer äußerst kritischen Lücke spreche, dann heißt das zum Beispiel direkter und uneingeschränkter Zugriff auf die Datenbank.

Von daher ist es vielleicht empfehlenswert, nach dem Patchen der source.php zusätzlich das Datenbankpasswort zu ändern.

Übrigens möchte ich hier keine Anleitung zum Ausnutzen der Lücke sehen!
Es gibt wirklich genug Leute, die bei so einer Gelegenheit ihr Gehirn abschalten und nur "weil sie es können" anderen Leuten Ärger machen. Und es gibt genug Serverbetreiber, die diese Warnung wohl nicht so schnell erreichen wird.

Die Entwickler sind informiert und Dragonprime wird wohl in Kürze ebenfalls eine Warnung samt Patch rausgeben.

_________________
Praxis ist, wenn alles klappt aber keiner weiß warum. Theorie ist, wenn man weiß wie es geht, aber nichts klappt. Wir haben beides erfolgreich vereinigt: Bei uns klappt nichts und keiner weiß warum!

Neues Video: Marios freier Tag in Second Life


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags:
BeitragVerfasst: Sa 01 Apr, 2006 22:54 
Offline
Freak
Freak
Benutzeravatar

Registriert: Sa 04 Dez, 2004 02:34
Beiträge: 825
Hmm PHP interner Fehler? ôo
Dann sollte man auch das PHP-Team informieren..
Weil man muss denk ich mal was aus der $_SERVER var manipulieren?


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags:
BeitragVerfasst: Di 04 Apr, 2006 09:15 
Offline
Profi
Profi
Benutzeravatar

Registriert: Do 29 Dez, 2005 16:50
Beiträge: 178
Wohnort: Pinneberg
Nein, kein Fehler in PHP, man kann nur Daein sehen die man nicht sehen darf.
Und jetzt bitte keine Fragen mehr, Bugs sollten besser unbekannt bleiben...
Und wer sich ein bischen mit PHP auskennt kann auch aus dem Bugfix auf den Fehler schließen!

_________________
LoGD-Server ist zwar weg aber jetzt kommt das nächste Projekt, mehr dazu auch Hier


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags:
BeitragVerfasst: Di 04 Apr, 2006 14:00 
Offline
Admin
Admin
Benutzeravatar

Registriert: Di 21 Jan, 2003 01:11
Beiträge: 1604
Wohnort: Haßfurt
Geschlecht: Männlich
LoGD: http://www.anpera.net/logd
Skype: anpera-net
Ja. Und nur noch mal zur Verdeutlichung:

[UPDATE 2]
Entwarnung für Version 1.0.6 und 1.1.0! Diese beiden Versionen sind als einzige nicht davon betroffen!

_________________
Praxis ist, wenn alles klappt aber keiner weiß warum. Theorie ist, wenn man weiß wie es geht, aber nichts klappt. Wir haben beides erfolgreich vereinigt: Bei uns klappt nichts und keiner weiß warum!

Neues Video: Marios freier Tag in Second Life


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags:
BeitragVerfasst: Di 25 Apr, 2006 14:42 
Offline
Admin
Admin
Benutzeravatar

Registriert: Di 21 Jan, 2003 01:11
Beiträge: 1604
Wohnort: Haßfurt
Geschlecht: Männlich
LoGD: http://www.anpera.net/logd
Skype: anpera-net
Noch ein letztes zusammenfassendes Update!

Betroffen sind - wie schon erwähnt - alle LoGD-Versionen bis einschließlich Version 1.0.5

Nicht betroffen sind alle Versionen ab 1.0.6

Keine Auswirkungen hat die Lücke auf allen LoGD-Servern, die unter Windows XP laufen, unabhängig von der Version.

Danke an Eliwood für diese Erkenntnis.

(Wer hätte das gedacht ... ausgerechnet Windows XP ist hier mal sicher...
Die Lücke befindet sich natürlich trotzdem im Code und sollte dringend ausgebessert werden!)

_________________
Praxis ist, wenn alles klappt aber keiner weiß warum. Theorie ist, wenn man weiß wie es geht, aber nichts klappt. Wir haben beides erfolgreich vereinigt: Bei uns klappt nichts und keiner weiß warum!

Neues Video: Marios freier Tag in Second Life


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags:
BeitragVerfasst: Mo 01 Mai, 2006 09:39 
Offline
Profi
Profi
Benutzeravatar

Registriert: So 15 Jan, 2006 20:28
Beiträge: 108
Wohnort: Hangelar
1. Wenn ein fremder damit irgendwie meine Dateien ändern kan, dan hat er es schon ausgenutzt:D
2. Sollte ich aufgund dieses Fehlers meine Passwörter (DB und FTP) ändern?
3.
Zitat:
Und wer sich ein bischen mit PHP auskennt kann auch aus dem Bugfix auf den Fehler schließen!

Naja, eher gut PHP UND LogD beherrscht^^

_________________
Bild


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags:
BeitragVerfasst: Do 10 Aug, 2006 18:09 
Offline
Marquis Pherae
Marquis Pherae

Registriert: Mi 09 Feb, 2005 16:01
Beiträge: 3925
Wohnort: Basel
Geschlecht: Männlich
Anpera hat geschrieben:
(Wer hätte das gedacht ... ausgerechnet Windows XP ist hier mal sicher...


Sicher - Ja, aber wer weiss ob das überhaupt von M$ so gewollt ist... :D

TruckerB hat geschrieben:
2. Sollte ich aufgund dieses Fehlers meine Passwörter (DB und FTP) ändern?

DB: Ja
Wenn FTP-Passwort gleich ist: Ja

TruckerB hat geschrieben:
Und wer sich ein bischen mit PHP auskennt kann auch aus dem Bugfix auf den Fehler schließen!

Naja, eher gut PHP UND LogD beherrscht^^


Neib. PHP reicht vollkommen aus. Es gibt auch Leute, die Lücken in WinXP ausnutzen können, ohne den Sourcecode gesehen zu haben... ;)


Nach oben
 Profil  
Mit Zitat antworten  
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 12 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 4 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen
Du darfst keine Antworten zu Themen in diesem Forum erstellen
Du darfst deine Beiträge in diesem Forum nicht ändern
Du darfst deine Beiträge in diesem Forum nicht löschen
Du darfst keine Dateianhänge in diesem Forum erstellen

Suche nach:
Gehe zu:  
cron
POWERED_BY
Deutsche Übersetzung durch phpBB.de
anpera.net - Impressum