Veiligheidslek?

Naomi · Bericht door **Naomi** » 20 jan 2005, 09:04

Iemand op mijn forum - die absoluut verstand van zaken heeft - meldt het volgende:

Wel handig om te weten dat je middels een aangepaste URL alle data (inclusief de PRIVMSG_TEXT waar de PB's staan) kunt lezen.

Fijne software, dat phpbb.

Ik zal de exploit over een paar weken wel een keer melden bij PHPBB.com Rolling Eyes

Nu kan iedereen die stennis wil schoppen dit natuurlijk zeggen, maar ik weet van hem dat hij weet waarover hij praat. Niet fijn natuurlijk dat hij het bericht zo vaag houdt. Kan iemand hier misschien iets mee? Is er iemand met wie ik contact kan opnemen om dit verder uit te zoeken?

groetjes, Naomi

Stef · Bericht door **Stef** » 20 jan 2005, 11:03

Er is geloof ik in één van de laatste updates gekeken naar exploits.
Dus het lijkt me sterk, ik zeg nooit nooit, hij moet maar eens laten zien hoe hij het doet.

Luuk · Bericht door **Luuk** » 20 jan 2005, 13:11

Dat gaat niet, als dat bericht niet van jouw is wordt je teruggestuurd naar de inbox. Probeer maar eens naar dit bericht te gaan in mijn inbox: http://www.phpbb.nl/privmsg.php?folder= ... ad&p=19385

Stef · Bericht door **Stef** » 20 jan 2005, 13:30

Hij zegt ook niet dat op díe manier doet. Al kan ik ook geen andere url bedenken.

mosymuis · Bericht door **mosymuis** » 21 jan 2005, 23:35

Het is waar dat je door middel van aangepaste URL's mbv exploits gegevens in phpBB kunt opvragen die zeker niet voor jouw ogen bestemd zijn, maar dan ook alleen in phpBB forums die draaien op versies van vóór phpBB 2.0.11.

Als hij een truc kent die werkt in de laatste versie, zou hij dat zeker moeten melden aan phpBB.com, waarvan ik zeker weet dat die er direct een passende fix voor zouden releasen. Doet hij dat niet, of zou phpBB daar volgens hem niets aan doen, dan kan je met een gerust hart stellen dat hij uit zijn nek lult. In dat geval mag je hem ook door verwijzen naar mij, ik ben benieuwd.