Fixjes voor Blend Portal / Activity Mod Plus

[Bee]

Hallo iedereen,

Afgelopen nacht ontving ik mail van aUsTiN over een veiligheidslek in Blend Portal en in de Activity Mod Plus. Wanneer je een van deze twee mods hebt, wordt aangeraden de onderstaande aanpassingen direct te maken.

Let op: Dit geldt niet voor de Activity Mod van dEfEndEr!

Open: blend_data/blend_common.php
Zoek:

Code: Selecteer alles

define('BLEND_DATA_PATH',               'blend_data/');

Voeg ervoor toe:

Code: Selecteer alles

if (!defined('IN_PHPBB'))
{
        die('Hack Attempt');
}

Nieuwe versies van beide mods zullen zeer binnenkort worden vrijgegeven. Doe je voordeel met deze informatie. Overigens bevatte de mail ook een aantal IP's waarvan aanvallen gepleegd zouden zijn. Het bannen hiervan vind ik nogal overdreven.

[Paul]

Mbt bannen van die IP's, dit heeft geen enkele zin. zeer waarshcijnlijk zijn dit proxys, en zullen ze, wanneer ze gebanned zijn, gewoon een nieuwe proxy pakken.

[Kaza]

En wat is de aanpassing voor de Activity Mod Plus?

Reeds gevonden! edit:

language/lang_english/lang_activity.php
AND
language/lang_english/lang_activity_char.php

FIND

Code: Selecteer alles

* 
***************************************************************************/ 

AFTER, ADD

Code: Selecteer alles

   if (!defined('IN_PHPBB')) 
      die('Not Authorized.');

[Bee]

Er zijn ook nog twee fixes voor twee andere mods.

paFileDB
Open: pafiledb/includes/pafiledb_constants.php
Zoek naar:

Code: Selecteer alles

 *   (at your option) any later version. 
 * 
 ***************************************************************************/ 

Voeg erachter toe:

Code: Selecteer alles

if ( !defined('IN_PHPBB') ) 
{ 
   die("Hacking attempt"); 
}

Hacks List
Open: admin/admin_hacks_list.php
Zoek naar:

Code: Selecteer alles

$phpbb_root_path = '../'; 
if( !empty($setmodules) ) 
{ 
   include($phpbb_root_path . 'language/lang_' . $board_config['default_lang'] . '/lang_admin_hacks_list.' . $phpEx); 
   $filename = basename(__FILE__); 
   $module['General']['Hacks_List'] = $filename; 
    
   return; 
} 

include($phpbb_root_path . 'extension.inc'); 
(file_exists('pagestart.' . $phpEx)) ? include('pagestart.' . $phpEx) : include('pagestart.inc');

Vervang door:

Code: Selecteer alles

if( !empty($setmodules) ) 
{ 
   $filename = basename(__FILE__); 
   $module['General']['Hacks_List'] = $filename; 
    
   return; 
} 

$phpbb_root_path = './../'; 
require($phpbb_root_path . 'extension.inc'); 
require('./pagestart.' . $phpEx);

Overig
De volgende bestanden kunnen (hoeft niet) met de volgende aanpassing veiliger worden.

auth.php (standaard)
class_db.php (niet standaard)
emailer.php (standaard)
functions.php (standaard)
functions_admin.php (standaard)
functions_bookmark.php (niet standaard)
functions_jr_admin.php (niet standaard)
functions_kb.php (niet standaard)
functions_mods_settings.php (niet standaard)
functions_module.php (niet standaard)
functions_profile_fields.php (niet standaard)
functions_search.php (standaard)
functions_selects.php (standaard)
functions_stats.php (niet standaard)
functions_validate.php (standaard)
sessions.php (standaard)
smtp.php (standaard)
sql_parse.php (standaard)
template.php (standaard)
topic_review.php (standaard)
usercp_avatar.php (standaard)

Open een van deze bestanden.
Zoek naar:

Code: Selecteer alles

 *   (at your option) any later version. 
 * 
 ***************************************************************************/ 

Voeg erachter toe:

Code: Selecteer alles

if ( !defined('IN_PHPBB') ) 
{ 
   die("Hacking attempt"); 
}