Veiligheids-fix in phpBB.

Nieuws van en over phpBB(.nl) Afbeelding Afbeelding
Plaats reactie
Spikey
Berichten: 1361
Lid geworden op: 21 dec 2002, 23:08

Veiligheids-fix in phpBB.

Bericht door Spikey » 09 dec 2003, 20:08

Er is een klein beveiligingsprobleem in search.php. Het is namelijk onder zeer specifieke omstandigheden mogelijk om wachtwoorden te achterhalen.

Hoewel de kans hierop zeer klein is wordt het aangeraden, voor alle gebruikers van phpBB 2.0.x onderstaande kleine update uit te voeren.

Alle nieuw te downloaden versies van phpBB zijn al voorzien van deze update. Hiermee zijn alle nieuwe installaties en upgrades beveiligd.

Om deze update uit te voeren op het bestand search.php in een teksteditor en zoek naar het onderstaande (ongeveer regel 685):

Code: Selecteer alles

      if ( intval($search_id) ) 
      { 
         $sql = "SELECT search_array 
            FROM " . SEARCH_TABLE . " 
            WHERE search_id = $search_id  
               AND session_id = '". $userdata['session_id'] . "'";
en vervang dit met:

Code: Selecteer alles

      $search_id = intval($search_id); 
      if ( $search_id ) 
      { 
         $sql = "SELECT search_array 
            FROM " . SEARCH_TABLE . " 
            WHERE search_id = $search_id  
               AND session_id = '". $userdata['session_id'] . "'";
Sla het bestand op en upload het vervolgens naar je webruimte waarbij je het aanwezige bestand overschrijft.


Originele bericht op phpBB.com:
http://www.phpbb.com/phpBB/viewtopic.php?t=153818
gr. Spikey

Geen support via pb, email, msn, uw vragen worden niet beantwoord !
Omhoog
Plaats reactie

Terug naar “Mededelingen”