anpera.net
http://anpera.homeip.net/phpbb3/

!! Sicherheitslücke in LoGD's Session-Verwaltung
http://anpera.homeip.net/phpbb3/viewtopic.php?f=26&t=4902
Seite 1 von 1

Autor:  Eliwood [ Do 28 Mai, 2009 12:48 ]
Betreff des Beitrags:  !! Sicherheitslücke in LoGD's Session-Verwaltung

Mir ist über Umwege heute eine Sicherheitslücke in LoGD's Session-Verwaltung mitgeteilt worden. Ich vermute, dass sich die Lücke nur mit besonderer PHP- oder Apache-Konfiguration ausnützen lässt.
Der Bugfix ist aber relativ einfach.
In der common.php gehört session_register('session') ersetzt mit folgendem Stück code:

$this->bbcode_second_pass_code('', '// Session einstellen & starten
session_name('IrgendEinNameOhneBesondereZeichen');
session_start();')

Der Parameter von session_name sollte für jeden Server eindeutig sein. Garantiert erlaubt sind Zeichen a-Z und 0-9. Ich empfehle hier zum Beispiel den Namen des Servers (spamAndeggsLoGD) zu nehmen.

Autor:  -DoM [ Do 18 Jun, 2009 10:50 ]
Betreff des Beitrags:  Re: !! Sicherheitslücke in LoGD's Session-Verwaltung

Man sollte auch erwähnen, dass der Name nicht nur aus Zahlen bestehen darf!
session_name()

Autor:  Eliwood [ Do 18 Jun, 2009 16:00 ]
Betreff des Beitrags:  Re: !! Sicherheitslücke in LoGD's Session-Verwaltung

Sagte ich doch bereits: Garantiert ist das funktionieren von den Zeichen a-Z und 0-9... ;)

Autor:  -DoM [ Do 18 Jun, 2009 20:23 ]
Betreff des Beitrags:  Re: !! Sicherheitslücke in LoGD's Session-Verwaltung

Ohne jetzt kleinlich zu wirken, aber was wäre wenn Jemand auf die Idee kommt nur Zahlen zu nutzen, und später auf eine spezifische SessionId zuzugreifen versucht?

Ich habe auch nicht gesagt, dass a-z und 0-9 falsch wären. Leidiglich deiner Aussage hinzugefügt, dass NICHT NUR Zahlen, verwendwung finden dürfen/sollten.

Aber dennoch danke ich dir für deinen Hinweis, über die eventuelle Lücke, auch wenn ich glaube das die Umstände dann schon sehr "spezifisch" sein müssten.

Autor:  Lunastra [ Do 18 Jun, 2009 22:24 ]
Betreff des Beitrags:  Re: !! Sicherheitslücke in LoGD's Session-Verwaltung

Ich mischerl mihch ma ein, und sag einfach mal Danke fürs aufmerksam machen^^

Autor:  Eliwood [ Do 18 Jun, 2009 23:46 ]
Betreff des Beitrags:  Re: !! Sicherheitslücke in LoGD's Session-Verwaltung

-DoM hat geschrieben:
Ohne jetzt kleinlich zu wirken, aber was wäre wenn Jemand auf die Idee kommt nur Zahlen zu nutzen, und später auf eine spezifische SessionId zuzugreifen versucht?

Ich habe auch nicht gesagt, dass a-z und 0-9 falsch wären. Leidiglich deiner Aussage hinzugefügt, dass NICHT NUR Zahlen, verwendwung finden dürfen/sollten.

Aber dennoch danke ich dir für deinen Hinweis, über die eventuelle Lücke, auch wenn ich glaube das die Umstände dann schon sehr "spezifisch" sein müssten.


Oh. Dann hab ich dich wohl missverstanden, sorry. :pein:
Ja, klar - Mindestens ein Buchstabe muss vorhanden sein.

Autor:  MySql [ Do 25 Jun, 2009 22:28 ]
Betreff des Beitrags:  Re: !! Sicherheitslücke in LoGD's Session-Verwaltung

Müsste dann nicht auch, folgende Zeile geändert werden:

$this->bbcode_second_pass_code('', '$session =& $_SESSION['session'];')

Daher die Session im ggf. dann ja nicht mehr "session" heisst!?

Autor:  Eliwood [ Fr 26 Jun, 2009 00:22 ]
Betreff des Beitrags:  Re: !! Sicherheitslücke in LoGD's Session-Verwaltung

Häh? Die Session ist ja immernoch $_SESSION. Da ist egal, wie die heisst - Sessionname ist hauptsächlich für die Cookies da.

Autor:  MySql [ Fr 26 Jun, 2009 11:31 ]
Betreff des Beitrags:  Re: !! Sicherheitslücke in LoGD's Session-Verwaltung

Achso okay. Hatte mich nur irritiert, da die "session_register" ja auch "session" enthielt.. (:

Autor:  Eliwood [ Fr 26 Jun, 2009 16:50 ]
Betreff des Beitrags:  Re: !! Sicherheitslücke in LoGD's Session-Verwaltung

session_register() ist veraltet - habs deswegen weggelassen. das hinzufügen von Array-schlüssel in $_SESSION reicht seit PHP-Version... Irgendwas über 4.0.5.

Autor:  Nightborn [ Di 07 Jul, 2009 10:44 ]
Betreff des Beitrags:  Re: !! Sicherheitslücke in LoGD's Session-Verwaltung

wie eliwood sagt... session_register() ist veraltet...

daher z.B. bei mir nur:

90 //session_register("session");
91 //deprecated
92 session_start();
93

als Änderung an der DP Edition von 1.x.x.

Läuft und passt. Der Sessionname ist irrelevant m.E. nach.

Autor:  Eliwood [ Di 07 Jul, 2009 11:54 ]
Betreff des Beitrags:  Re: !! Sicherheitslücke in LoGD's Session-Verwaltung

Nein. Eben nicht.
Das ist ja der Fix der Sicherheitslücke. Ich schreib dir mal das Verhalten zu. ;)

Autor:  Welv [ Fr 17 Jul, 2009 06:13 ]
Betreff des Beitrags:  Re: !! Sicherheitslücke in LoGD's Session-Verwaltung

Ich hab da ein Problem mit dem Fix, weiß aber nicht obs am Fix, am Browser oder XAMPP, oder logd 0.9.7 liegt ^^
Bevor aber groß Crossposting geschriehen wird, frag ich mal nur hier nach.

Wenn ich session_set_cookie_params() so verwende,
PHP:
session_name('logd');
session_set_cookie_params(0, dirname($_SERVER['PHP_SELF']), $_SERVER['HTTP_HOST']);
session_start();


akzeptiert weder Firefox, noch IE das Cookie "logd" (alle anderen Cookies schon. lgi und eigene). Opera hat hingegen keine Progleme damit.
Wenn ich session_set_cookie_params() weg lasse, dann gehts in allen Browsern.

Autor:  Eliwood [ Fr 17 Jul, 2009 11:44 ]
Betreff des Beitrags:  Re: !! Sicherheitslücke in LoGD's Session-Verwaltung

a) Nimm einen eindeutigeren Namen als "logd".
b) Die Cookie-Parameter kann man weglassen.

Autor:  Welv [ Fr 17 Jul, 2009 15:32 ]
Betreff des Beitrags:  Re: !! Sicherheitslücke in LoGD's Session-Verwaltung

Eliwood hat geschrieben:
a) Nimm einen eindeutigeren Namen als "logd".
b) Die Cookie-Parameter kann man weglassen.


a) hab ich schon gehabt. logd war nur als beispiel
b) mit session_set_cookie_params(0) funktionierts.

danke

Autor:  Tidus [ Fr 24 Jul, 2009 08:11 ]
Betreff des Beitrags:  Re: !! Sicherheitslücke in LoGD's Session-Verwaltung

hmmm nach dem kommentar von Salator ist mir ein licht aufgegangen.
Jedesmal beim automatischen logout oder timeout kam die meldung auf der index man müsse cookies zulassen etc.

das liegt wohl daran das man PHPSESSID durch den namen in der common.php ersetzen muss?

if (!isset($_COOKIE['PHPSESSID'])){

is 2x in der index.php enthalten.
greetz

Seite 1 von 1 Alle Zeiten sind UTC + 1 Stunde
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/