| anpera.net https://anpera.dyndns.org/phpbb3/ |
|
| Anfrage von MightyE https://anpera.dyndns.org/phpbb3/viewtopic.php?f=25&t=2889 |
Seite 1 von 2 |
| Autor: | Darkness [ Sa 16 Sep, 2006 21:28 ] |
| Betreff des Beitrags: | Anfrage von MightyE |
Zitat: Please be advised: A security issue was discovered against the Legend of the Green Dragon code base, and your email address is registered as an admin for a Legend of the Green Dragon server. It is imperative that you apply the below patch as soon as possible. The vulnerability permits masquerading as any user account. If you run the suipcontrol module, then your server will be protected against unwanted administrative changes, but users who are able to exploit this vulnerability will be able to masquerade as any user for any non-administrative purpose. Unfortunately this vulnerability was disclosed to the public before it was brought to our attention, so we were not able to issue a preemptive patch. The public disclosure was removed within an hour, but anyone who read it in the mean time may be able to figure out how to exploit this vulnerability. How to protect yourself against this exploit: Admins of the 1.0.6 version can find an updated version of "login.php" here: http://lotgd.net/updated_1.0.6_login.tar.gz Admins for the 1.1.0 Dragonprime Edition can visit Dragonprime.net to find an updated version of this file as soon as it is available. Anyone else may manually edit login.php and add this line of code immediately before the first $sql statement (typically around line 30): $password = addslashes($password); So typically this will look like: $password = addslashes($password); $sql = "SELECT * FROM " . db_prefix("accounts") . " WHERE login = '$name' AND password='$password' AND locked=0"; However it's possible that your $sql statement looks slightly different. Please contact me at MightyE@MightyE.org if you have questions on how to implement this on your server, and I will do my very best to help you out. As far as I know, this is the first security vulnerability discovered against the Legend of the Green Dragon core code base (meaning that it is not the result of a 3rd party module outside our control). -Eric "MightyE" Stevens
Ok, das heißt soweit ich weiß ,dass sich außenstehende ohne Passwörter einloggen können oder sowas in der art... Un dass man eben das drot ändern soll um das zu verhindern... Jetzt 3 Fragen^^ 1. habt ihr auch so eine Mial bekommen? 2. Was genau bedeutet das (so gut ist mein englsich jetzt nicht...) 3. Entspricht dies den Tatsachen? oder gibt sich nur jemand als MightyE aus und will dass man eine Sicherheitslücke einbaut... |
|
| Autor: | Kami [ Sa 16 Sep, 2006 21:34 ] |
| Betreff des Beitrags: | |
Ich kann leider nur die erste Frage beantworten. Ja, ich hab diese Anfrage auch bekommen. Und da ich von natur aus misstrauisch bin, wollte ich sehen, ob ich hier etwas darüber finde. Aber ob es nun wirklich von ihm ist... Keine Ahnung... Schließe mich aber den anderen beiden Fragen an, weil mich das doch sehr interessiert. |
|
| Autor: | Rikkarda [ Sa 16 Sep, 2006 21:37 ] |
| Betreff des Beitrags: | |
bei mir ging die auch grade ein.. weiss da einer was genaueres? lg |
|
| Autor: | Squall [ Sa 16 Sep, 2006 21:38 ] |
| Betreff des Beitrags: | |
ok..haben darkness und ich 2 theman gleichzeitig aufgemacht^^ $this->bbcode_second_pass_code('', 'Ein Sicherheitsproblem wurde gegen die Legende der Grünen Drache-Codebasis entdeckt, und Ihre E-Mail-Adresse wird als ein admin für eine Legende des Grünen Drache-Servers eingeschrieben. Es ist befehlend, den Sie sich unter dem Fleck so bald wie möglich wenden. Die Verwundbarkeit erlaubt masquerading als jede Benutzerrechnung. Wenn Sie das suipcontrol Modul führen, dann wird Ihr Server gegen unerwünschte Verwaltungsänderungen geschützt, aber Benutzer, die im Stande sind, diese Verwundbarkeit auszunutzen, werden zur Maskerade als jeder Benutzer zu jedem Nichtverwaltungszweck fähig sein. Leider wurde diese Verwundbarkeit zum Publikum bekannt gegeben, bevor es zu unserer Aufmerksamkeit gebracht wurde, so waren wir nicht im Stande, einen Vorkaufsfleck auszugeben. Die öffentliche Enthüllung wurde innerhalb einer Stunde, aber irgendjemandes entfernt, der es las, inzwischen kann im Stande sein sich zu belaufen, wie man diese Verwundbarkeit ausnutzt. Wie man sich gegen diese Großtat schützt: Admins der 1.0.6 Version kann eine aktualisierte Version von "login.php" hier finden: http: // lotgd.net/updated_1.0.6_login.tar.gz Admins für die 1.1.0 Dragonprime Ausgabe kann Dragonprime.net besuchen, um eine aktualisierte Version dieser Datei zu finden, sobald das verfügbar ist. Irgendjemand anderer kann login.php manuell editieren und diese Linie des Codes sofort vor dem ersten $sql Behauptung (normalerweise um die Linie 30) hinzufügen: $password = addslashes ($password); so normalerweise wird das ähnlich sein: $password = addslashes ($password); $sql = "WÄHLEN * VON AUS". db_prefix ("Rechnungen"). " WO Anmeldung = '$name' UND Kennwort = '$password' UND locked=0"; jedoch ist es möglich, dass Ihr $sql Behauptung ein bisschen verschieden aussieht. Setzen Sie sich mit mir bitte an MightyE@MightyE.org in Verbindung, wenn Sie Fragen anhaben, wie man das auf Ihrem Server durchführt, und ich mein sehr am besten tun werde, Ihnen hinauszuhelfen. Soviel ich weiß, ist das die erste gegen die Legende der Grünen Drache-Kerncodebasis entdeckte Sicherheitsverwundbarkeit (Bedeutung, dass es nicht das Ergebnis eines 3. Parteimoduls außerhalb unserer Kontrolle ist).-Eric "MightyE" Stevens ') |
|
| Autor: | Darkness [ Sa 16 Sep, 2006 21:41 ] |
| Betreff des Beitrags: | |
@Squall: mit der Übersetzung kann ich noch weniger anfangen als mit dm englischen Text xD ist bestimmt von google oder so...^^ Naja, also wenn so viele diese anfrage zur gleichen Zeit bekommen haben, dann ist es doch warhscheinlich, dass da was dran ist^^ |
|
| Autor: | Squall [ Sa 16 Sep, 2006 21:44 ] |
| Betreff des Beitrags: | |
joo....glaubste ich hab lust den ganzen text zu übersetzen..es geht wohl darum,das man die login php..erneuern muß..da irgendwelche leute..wohl ohne pw und name bei einen eindringen können. weiß aber nicht ob es auch für die 97 relevant ist..das sagt er nähmlich nicht...nur für 1.6..und 1.2 oder so ähnlich^^ |
|
| Autor: | Kamui [ Sa 16 Sep, 2006 21:46 ] |
| Betreff des Beitrags: | |
Nun ich denke nicht das es uns 9.7 Betreiber betrifft da die rede von Modulen ist und 9.7 keine Module führt so weit ich weiss als ist es für uns nicht schlimm |
|
| Autor: | Eliwood [ Sa 16 Sep, 2006 21:46 ] |
| Betreff des Beitrags: | |
http://dragonprime.net/index.php?topic= ... n#msg48765 Ja, ist eine richtige Mail. Ich klär ab, was das konkret für die 0.9.7 heisst. Macht euch aber keine Sorgen. Ich denke, dass zumindest die GER 3 da sicher ist. |
|
| Autor: | Darkness [ Sa 16 Sep, 2006 21:47 ] |
| Betreff des Beitrags: | |
Alsdo soweit ich das verstanden habe (kann natürlich acuh vollkommen falsch sein) sollen sich die besitzer der version 106 oder 101 das entspredchnde modul von dragonprime runterladen.. alle anderesn (also auch die 097er^^) sollen eben in der login.php die genannte Änderung vornehmen... |
|
| Autor: | Kamui [ Sa 16 Sep, 2006 21:51 ] |
| Betreff des Beitrags: | |
Also ich habe das update mal rein gemacht aber bei mir kam nee Fehlermeldung ich weiss aber nicht woran es lag da sie ziemlich gross war und ich das irrgendwie nicht kapiert habe. Und Eliwood check mal deine PN's ^^ |
|
| Autor: | Eliwood [ Sa 16 Sep, 2006 21:53 ] |
| Betreff des Beitrags: | |
Ich stelle nachher grad mal eine "Sicherere" login für die GER 3 hoch. Aber alle GER-Versionen von ANpera sind absolut sicher! Das, was in den neuen Versionen nötig ist, steht als Idiotenhackschutz schon in der dbwrapper.php. |
|
| Autor: | Kamui [ Sa 16 Sep, 2006 21:59 ] |
| Betreff des Beitrags: | |
Nun ja ich denke nicht das man für 9.7 eine neue Login.php braucht vor allem wenn man die Gilden und Clans drine hat da man da auch die dbwrapper.php erweitert werden muss und da dann ja auf jeden fall der Schutz drine sein muss sonst würden ja die Gilden und Clans nicht funktionieren |
|
| Autor: | Eliwood [ Sa 16 Sep, 2006 22:03 ] |
| Betreff des Beitrags: | |
Was ist das denn für eine unlogische Verknüpfung von Tatsachen? ô_Ò |
|
| Autor: | Iridion [ So 17 Sep, 2006 07:05 ] |
| Betreff des Beitrags: | |
Auch meiner einer hat die Mail bekommen, jedoch kann ich nicht sagen das das auf die 97 Ger zutrifft. Nichtsdestotrotz hab ich den "advise" für das SQL-Statement eingebaut. Einen sichtbaren Effekt, sprich Fehlermeldung beim Login, gabs jedoch nicht. Ich denke wirklich das wir mit der 97 sicher sind. |
|
| Autor: | anpera [ So 17 Sep, 2006 12:04 ] |
| Betreff des Beitrags: | |
Wer das Changes Log mitverfolgt und die dort angebotenen Sicherheitspatches eingebaut hat, hat auch in ext GER 3 nichts zu befürchten. Im Changes Log wird diese mögliche Lücke in 0.9.7 +jt ext GER 3 bereits am 11.8.2005 erwähnt und auf ähnliche Weise gestopft. 
|
|
| Autor: | Eliwood [ So 17 Sep, 2006 13:26 ] |
| Betreff des Beitrags: | |
Naja @ Anpera. Bringen tut es nichts wirklich, denke ich. Die dbwrapper.php maskiert ja schon... Zudem vergisst du, das Passwort zu maskieren (Was aber auch nicht nötig wäre, da die dbwrapper.php ja schon die Arbeit erledigt..). |
|
| Autor: | Squall [ Di 19 Sep, 2006 19:07 ] |
| Betreff des Beitrags: | |
hmm..finde es zwar nett,das mighty einen auf sicherheitsfehler hinweißt,jedoch,wenn ich die systemmail lösche,bekomme ich ständig,jeden tag ne neue...das artet ja langsam in spaming aus...ist das nur bei mir so..oder auch bei anderen 
|
|
| Autor: | Darkness [ Di 19 Sep, 2006 20:15 ] |
| Betreff des Beitrags: | |
Squall hat geschrieben: hmm..finde es zwar nett,das mighty einen auf sicherheitsfehler hinweißt,jedoch,wenn ich die systemmail lösche,bekomme ich ständig,jeden tag ne neue...das artet ja langsam in spaming aus...ist das nur bei mir so..oder auch bei anderen
Also ich hab ie auch schon mehrmals bekommen... naja soo schlimm ist nicht, aber eben ein bisschen nervig.. ich denk das wird schon von alleine aufhören^^ |
|
| Autor: | Iridion [ Di 19 Sep, 2006 21:13 ] |
| Betreff des Beitrags: | |
Ich glaube das liegt einfach daran, das es Leute gibt die in der Admingrotte auf Herführende URLs schauen und dort die URL vom MightyE finden und da einfach mal draufklicken... |
|
| Autor: | Morpheus [ Di 19 Sep, 2006 22:33 ] |
| Betreff des Beitrags: | |
Squall hat geschrieben: hmm..finde es zwar nett,das mighty einen auf sicherheitsfehler hinweißt,jedoch,wenn ich die systemmail lösche,bekomme ich ständig,jeden tag ne neue...das artet ja langsam in spaming aus...ist das nur bei mir so..oder auch bei anderen
Du bekommst sie für mich mit, denn ich hab sie noch garnicht bekommen, obwohl ich im Netz angemeldet bin
|
|
| Seite 1 von 2 | Alle Zeiten sind UTC + 1 Stunde |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|