anpera.net

Ok, das heißt soweit ich weiß ,dass sich außenstehende ohne Passwörter einloggen können oder sowas in der art...
Un dass man eben das drot ändern soll um das zu verhindern...


Jetzt 3 Fragen^^
1. habt ihr auch so eine Mial bekommen?
2. Was genau bedeutet das (so gut ist mein englsich jetzt nicht...)
3. Entspricht dies den Tatsachen? oder gibt sich nur jemand als MightyE aus und will dass man eine Sicherheitslücke einbaut...

Ich kann leider nur die erste Frage beantworten. Ja, ich hab diese Anfrage auch bekommen. Und da ich von natur aus misstrauisch bin, wollte ich sehen, ob ich hier etwas darüber finde. Aber ob es nun wirklich von ihm ist... Keine Ahnung... Schließe mich aber den anderen beiden Fragen an, weil mich das doch sehr interessiert.

_________________
Elnarda

bei mir ging die auch grade ein.. weiss da einer was genaueres?


lg

_________________
~Inaktiv und Abwesend solange Mysql hier Moderatorenrechte hat~

ok..haben darkness und ich 2 theman gleichzeitig aufgemacht^^


$this->bbcode_second_pass_code('', 'Ein Sicherheitsproblem wurde gegen die Legende der Grünen Drache-Codebasis entdeckt, und Ihre E-Mail-Adresse wird als ein admin für eine Legende des Grünen Drache-Servers eingeschrieben. Es ist befehlend, den Sie sich unter dem Fleck so bald wie möglich wenden. Die Verwundbarkeit erlaubt masquerading als jede Benutzerrechnung. Wenn Sie das suipcontrol Modul führen, dann wird Ihr Server gegen unerwünschte Verwaltungsänderungen geschützt, aber Benutzer, die im Stande sind, diese Verwundbarkeit auszunutzen, werden zur Maskerade als jeder Benutzer zu jedem Nichtverwaltungszweck fähig sein. Leider wurde diese Verwundbarkeit zum Publikum bekannt gegeben, bevor es zu unserer Aufmerksamkeit gebracht wurde, so waren wir nicht im Stande, einen Vorkaufsfleck auszugeben. Die öffentliche Enthüllung wurde innerhalb einer Stunde, aber irgendjemandes entfernt, der es las, inzwischen kann im Stande sein sich zu belaufen, wie man diese Verwundbarkeit ausnutzt. Wie man sich gegen diese Großtat schützt: Admins der 1.0.6 Version kann eine aktualisierte Version von "login.php" hier finden: http: // lotgd.net/updated_1.0.6_login.tar.gz Admins für die 1.1.0 Dragonprime Ausgabe kann Dragonprime.net besuchen, um eine aktualisierte Version dieser Datei zu finden, sobald das verfügbar ist. Irgendjemand anderer kann login.php manuell editieren und diese Linie des Codes sofort vor dem ersten $sql Behauptung (normalerweise um die Linie 30) hinzufügen: $password = addslashes ($password); so normalerweise wird das ähnlich sein: $password = addslashes ($password); $sql = "WÄHLEN * VON AUS". db_prefix ("Rechnungen"). " WO Anmeldung = '$name' UND Kennwort = '$password' UND locked=0"; jedoch ist es möglich, dass Ihr $sql Behauptung ein bisschen verschieden aussieht. Setzen Sie sich mit mir bitte an MightyE@MightyE.org in Verbindung, wenn Sie Fragen anhaben, wie man das auf Ihrem Server durchführt, und ich mein sehr am besten tun werde, Ihnen hinauszuhelfen. Soviel ich weiß, ist das die erste gegen die Legende der Grünen Drache-Kerncodebasis entdeckte Sicherheitsverwundbarkeit (Bedeutung, dass es nicht das Ergebnis eines 3. Parteimoduls außerhalb unserer Kontrolle ist).-Eric "MightyE" Stevens
')

_________________
Die Frage lautet: Herr? Bist du das Göttliche?
Daraufhin meint er nur: Ich bin es, aber warum fragst du?

Mein Game zur Zeit Offline...

@Squall:
mit der Übersetzung kann ich noch weniger anfangen als mit dm englischen Text xD
ist bestimmt von google oder so...^^

Naja, also wenn so viele diese anfrage zur gleichen Zeit bekommen haben, dann ist es doch warhscheinlich, dass da was dran ist^^

joo....glaubste ich hab lust den ganzen text zu übersetzen..es geht wohl darum,das man die login php..erneuern muß..da irgendwelche leute..wohl ohne pw und name bei einen eindringen können.
weiß aber nicht ob es auch für die 97 relevant ist..das sagt er nähmlich nicht...nur für 1.6..und 1.2 oder so ähnlich^^

_________________
Die Frage lautet: Herr? Bist du das Göttliche?
Daraufhin meint er nur: Ich bin es, aber warum fragst du?

Mein Game zur Zeit Offline...

Nun ich denke nicht das es uns 9.7 Betreiber betrifft da die rede von Modulen ist und 9.7 keine Module führt so weit ich weiss als ist es für uns nicht schlimm

http://dragonprime.net/index.php?topic= ... n#msg48765

Ja, ist eine richtige Mail. Ich klär ab, was das konkret für die 0.9.7 heisst.
Macht euch aber keine Sorgen. Ich denke, dass zumindest die GER 3 da sicher ist.

Alsdo soweit ich das verstanden habe (kann natürlich acuh vollkommen falsch sein)
sollen sich die besitzer der version 106 oder 101 das entspredchnde modul von dragonprime runterladen..

alle anderesn (also auch die 097er^^) sollen eben in der login.php die genannte Änderung vornehmen...

Also ich habe das update mal rein gemacht aber bei mir kam nee Fehlermeldung ich weiss aber nicht woran es lag da sie ziemlich gross war und ich das irrgendwie nicht kapiert habe.
Und Eliwood check mal deine PN's ^^

Ich stelle nachher grad mal eine "Sicherere" login für die GER 3 hoch.
Aber alle GER-Versionen von ANpera sind absolut sicher!
Das, was in den neuen Versionen nötig ist, steht als Idiotenhackschutz schon in der dbwrapper.php.

Nun ja ich denke nicht das man für 9.7 eine neue Login.php braucht vor allem wenn man die Gilden und Clans drine hat da man da auch die
dbwrapper.php erweitert werden muss und da dann ja auf jeden fall der Schutz drine sein muss sonst würden ja die Gilden und Clans nicht funktionieren

Was ist das denn für eine unlogische Verknüpfung von Tatsachen? ô_Ò

Auch meiner einer hat die Mail bekommen, jedoch kann ich nicht sagen das das auf die 97 Ger zutrifft.
Nichtsdestotrotz hab ich den "advise" für das SQL-Statement eingebaut. Einen sichtbaren Effekt, sprich Fehlermeldung beim Login, gabs jedoch nicht.

Ich denke wirklich das wir mit der 97 sicher sind.

_________________
The Unix Guru's View of Sex: unzip ; strip ; touch ; grep ; finger ; mount ; fsck ; more ; yes ; umount ; sleep

Wer das Changes Log mitverfolgt und die dort angebotenen Sicherheitspatches eingebaut hat, hat auch in ext GER 3 nichts zu befürchten.

Im Changes Log wird diese mögliche Lücke in 0.9.7 +jt ext GER 3 bereits am 11.8.2005 erwähnt und auf ähnliche Weise gestopft.

_________________
Praxis ist, wenn alles klappt aber keiner weiß warum. Theorie ist, wenn man weiß wie es geht, aber nichts klappt. Wir haben beides erfolgreich vereinigt: Bei uns klappt nichts und keiner weiß warum!

Neues Video: Marios freier Tag in Second Life

Naja @ Anpera. Bringen tut es nichts wirklich, denke ich. Die dbwrapper.php maskiert ja schon... Zudem vergisst du, das Passwort zu maskieren (Was aber auch nicht nötig wäre, da die dbwrapper.php ja schon die Arbeit erledigt..).

hmm..finde es zwar nett,das mighty einen auf sicherheitsfehler hinweißt,jedoch,wenn ich die systemmail lösche,bekomme ich ständig,jeden tag ne neue...das artet ja langsam in spaming aus...ist das nur bei mir so..oder auch bei anderen

_________________
Die Frage lautet: Herr? Bist du das Göttliche?
Daraufhin meint er nur: Ich bin es, aber warum fragst du?

Mein Game zur Zeit Offline...

Also ich hab ie auch schon mehrmals bekommen...
naja soo schlimm ist nicht, aber eben ein bisschen nervig..

ich denk das wird schon von alleine aufhören^^

Ich glaube das liegt einfach daran, das es Leute gibt die in der Admingrotte auf Herführende URLs schauen und dort die URL vom MightyE finden und da einfach mal draufklicken...

_________________
The Unix Guru's View of Sex: unzip ; strip ; touch ; grep ; finger ; mount ; fsck ; more ; yes ; umount ; sleep

Du bekommst sie für mich mit, denn ich hab sie noch garnicht bekommen, obwohl ich im Netz angemeldet bin

_________________
Ich bin das Land, meine Augen sind der Himmel, meine Glieder die Bäume, ich bin der Fels, die Wassertiefe. Ich bin nicht hier, um die Natur zu beherrschen oder sie auszubeuten. Ich bin selbst Natur.

(Hopi)