phpBB 2.0.18

Voor discussies rondom phpBB2. phpBB2 wordt niet meer ondersteund en deze berichten kunnen wellicht gedateerd zijn.
Forumregels

Sinds 1 januari 2009 wordt phpBB2 niet meer ondersteund.
Onderstaande informatie is verouderd en dient uitsluitend als archief.phpBB2.0.x
Gesloten
Gebruikersavatar
ciska0707
Berichten: 75
Lid geworden op: 02 dec 2003, 19:15

Bericht door ciska0707 » 01 nov 2005, 21:12

mosymuis schreef:
Bee schreef:Er zit een kritieke update in, zeer vermoedelijk een SQL Injection.
Nee, de enige echte security update (één met weinig risico's) is een XSS bugfix in de verwerking van up te loaden avatars.
Kunnen jullie mij zeggen welk gedeelte van deze aanpassing de kritieke update is. Dan kan ik eerst het kritische gedeelte doen. Jeetje wat een update, daar ben ik wel even zoet mee. :D
Omhoog
Gebruikersavatar
Paul
Beheerder
Beheerder
Berichten: 20315
Lid geworden op: 23 okt 2003, 11:38
Locatie: Utrecht
Contacteer:
Contacteer Paul

Bericht door Paul » 01 nov 2005, 21:14

Het is niet echt een kritieke, zijn voornamelijke kleine dingentjes.
Omhoog
pumpeduse
Berichten: 165
Lid geworden op: 02 nov 2004, 11:20
Contacteer:
Contacteer pumpeduse

Bericht door pumpeduse » 01 nov 2005, 21:14

ciska0707 schreef:
mosymuis schreef:
Bee schreef:Er zit een kritieke update in, zeer vermoedelijk een SQL Injection.
Nee, de enige echte security update (één met weinig risico's) is een XSS bugfix in de verwerking van up te loaden avatars.
Kunnen jullie mij zeggen welk gedeelte van deze aanpassing de kritieke update is. Dan kan ik eerst het kritische gedeelte doen. Jeetje wat een update, daar ben ik wel even zoet mee. :D
IDD ik stop er ook mee...(ik ben al teveel tegen gekomen)
Ik doe alleen het "kritische" wel..

vr gr richard
Omhoog
Gebruikersavatar
Paul
Beheerder
Beheerder
Berichten: 20315
Lid geworden op: 23 okt 2003, 11:38
Locatie: Utrecht
Contacteer:
Contacteer Paul

Bericht door Paul » 01 nov 2005, 21:15

pumpeduse schreef:
ciska0707 schreef:
mosymuis schreef: Nee, de enige echte security update (één met weinig risico's) is een XSS bugfix in de verwerking van up te loaden avatars.
Kunnen jullie mij zeggen welk gedeelte van deze aanpassing de kritieke update is. Dan kan ik eerst het kritische gedeelte doen. Jeetje wat een update, daar ben ik wel even zoet mee. :D
IDD ik stop er ook mee...(ik ben al teveel tegen gekomen)
Ik doe alleen het "kritische" wel..

vr gr richard
dat is niet echt slim, ik heb er ook geen zin in, maar ja kan het beter wel doen, zodat je forum goed beveiligt is. Ze brengen de update niet voor niets uit :)
Omhoog
pumpeduse
Berichten: 165
Lid geworden op: 02 nov 2004, 11:20
Contacteer:
Contacteer pumpeduse

Bericht door pumpeduse » 01 nov 2005, 21:16

Helemaal met je eens..

Maar ik ben al 5 bestanden tegen gekomen waar iets niet klopte...

vr gr richard
Omhoog
Gebruikersavatar
Paul
Beheerder
Beheerder
Berichten: 20315
Lid geworden op: 23 okt 2003, 11:38
Locatie: Utrecht
Contacteer:
Contacteer Paul

Bericht door Paul » 01 nov 2005, 21:17

En daar willen wij je nou mee helpen :)
Ik ben er ook een aantal tegen gekomen, en er zijn een groot aantal mods minder goed compitable door, waaronder een van mij :)
Omhoog
pumpeduse
Berichten: 165
Lid geworden op: 02 nov 2004, 11:20
Contacteer:
Contacteer pumpeduse

Bericht door pumpeduse » 01 nov 2005, 21:21

pumpeduse schreef:Dit is weer 1...


#-----[ OPEN ]---------------------------------------------
#
includes/usercp_activate.php

#
#-----[ FIND ]---------------------------------------------
#
if (intval($board_config['require_activation']) == USER_ACTIVATION_ADMIN && $userdata['user_level'] != ADMIN)
{
message_die(GENERAL_MESSAGE, $lang['Not_Authorised']);


Dit heb ik............

if ( intval($board_config['require_activation']) == USER_ACTIVATION_ADMIN && $sql_update_pass == '' )
{

vr gr richard

Oke ga ik door....
Kun je me zeggen wat bovenstaande kan zijn??

vr gr richard
Omhoog
Trudy
Berichten: 385
Lid geworden op: 24 okt 2003, 21:01

Bericht door Trudy » 01 nov 2005, 21:22

paulus schreef:
Trudy schreef:en ja hoor, ik ben er weer. alweer een fout :cry:

Code: Selecteer alles

Fatal error: Call to undefined function: session_pagestart() in /usr/home/about/public_html/joa/viewtopic.php on line 170
Ik heb al viewtopic.php, sessions.php, common.php opnieuw aangepast. Ik weet niet meer wat ik moet doen
Sessions.php niet goed aangepast :)
kan iemand me helpen?

http://www.about-us.nl/sessions.txt

nu krijg ik deze fout :S, en had niets verandert:


Fatal error: Call to undefined function: session_pagestart() in /usr/home/about/public_html/joa/portal.php on line 67
Omhoog
Gebruikersavatar
Paul
Beheerder
Beheerder
Berichten: 20315
Lid geworden op: 23 okt 2003, 11:38
Locatie: Utrecht
Contacteer:
Contacteer Paul

Bericht door Paul » 01 nov 2005, 21:23

Code: Selecteer alles

#
#-----[ OPEN ]---------------------------------------------
#
includes/usercp_activate.php

#
#-----[ FIND ]---------------------------------------------
#
		if ( intval($board_config['require_activation']) == USER_ACTIVATION_ADMIN && $sql_update_pass == '' )
{ 
		{
			message_die(GENERAL_MESSAGE, $lang['Not_Authorised']);
		}

#
#-----[ REPLACE WITH ]---------------------------------------------
#
		if (intval($board_config['require_activation']) == USER_ACTIVATION_ADMIN && $row['user_newpasswd'] == '')
		{
			if (!$userdata['session_logged_in'])
			{
				redirect(append_sid('login.' . $phpEx . '?redirect=profile.' . $phpEx . '&mode=activate&' . POST_USERS_URL . '=' . $row['user_id'] . '&act_key=' . trim($HTTP_GET_VARS['act_key'])));
			}
			else if ($userdata['user_level'] != ADMIN)
			{
				message_die(GENERAL_MESSAGE, $lang['Not_Authorised']);
			}
		}
Denk ik :)
Omhoog
pumpeduse
Berichten: 165
Lid geworden op: 02 nov 2004, 11:20
Contacteer:
Contacteer pumpeduse

Bericht door pumpeduse » 01 nov 2005, 21:29

ik zie het niet...
Omhoog
Gebruikersavatar
Paul
Beheerder
Beheerder
Berichten: 20315
Lid geworden op: 23 okt 2003, 11:38
Locatie: Utrecht
Contacteer:
Contacteer Paul

Bericht door Paul » 01 nov 2005, 21:33

Die code gaf jij zelf :)
Omhoog
pumpeduse
Berichten: 165
Lid geworden op: 02 nov 2004, 11:20
Contacteer:
Contacteer pumpeduse

Bericht door pumpeduse » 01 nov 2005, 21:37

includes/usercp_activate.php

Code: Selecteer alles

#
#-----[ FIND ]---------------------------------------------
#
		if (intval($board_config['require_activation']) == USER_ACTIVATION_ADMIN && $userdata['user_level'] != ADMIN)
		{
			message_die(GENERAL_MESSAGE, $lang['Not_Authorised']);
		}
Dit heb ik..

Code: Selecteer alles

			message_die(GENERAL_ERROR, 'Could not update users table', '', __LINE__, __FILE__, $sql_update);
		}

		if ( intval($board_config['require_activation']) == USER_ACTIVATION_ADMIN && $sql_update_pass == '' )
		{
			include($phpbb_root_path . 'includes/emailer.'.$phpEx);
			$emailer = new emailer($board_config['smtp_delivery']);

			$emailer->from($board_config['board_email']);
			$emailer->replyto($board_config['board_email']);
Laatst gewijzigd door pumpeduse op 02 nov 2005, 17:25, 1 keer totaal gewijzigd.
Omhoog
Gebruikersavatar
Bee
Berichten: 13403
Lid geworden op: 29 aug 2004, 10:30

Bericht door Bee » 01 nov 2005, 21:55

Zit je wel op de goede plek te zoeken?
... Maar ik modereer (nog) niet.
Omhoog
pumpeduse
Berichten: 165
Lid geworden op: 02 nov 2004, 11:20
Contacteer:
Contacteer pumpeduse

Bericht door pumpeduse » 01 nov 2005, 22:02

ik zal hem even in plakken,als het niet te storend is...

Code: Selecteer alles

<?php
/***************************************************************************
 *                            usercp_activate.php
 *                            -------------------
 *   begin                : Saturday, Feb 13, 2001
 *   copyright            : (C) 2001 The phpBB Group
 *   email                : support@phpbb.com
 *
 *   $Id: usercp_activate.php,v 1.6.2.7 2003/05/03 23:24:02 acydburn Exp $
 *
 *
 ***************************************************************************/

/***************************************************************************
 *
 *   This program is free software; you can redistribute it and/or modify
 *   it under the terms of the GNU General Public License as published by
 *   the Free Software Foundation; either version 2 of the License, or
 *   (at your option) any later version.
 *
 *
 ***************************************************************************/

if ( !defined('IN_PHPBB') )
{
	die('Hacking attempt');
	exit;
}

$sql = "SELECT user_active, user_id, username, user_email, user_newpasswd, user_lang, user_actkey 
	FROM " . USERS_TABLE . "
	WHERE user_id = " . intval($HTTP_GET_VARS[POST_USERS_URL]);
if ( !($result = $db->sql_query($sql)) )
{
	message_die(GENERAL_ERROR, 'Could not obtain user information', '', __LINE__, __FILE__, $sql);
}

if ( $row = $db->sql_fetchrow($result) )
{
	if ( $row['user_active'] && trim($row['user_actkey']) == '' )
	{
		$template->assign_vars(array(
			'META' => '<meta http-equiv="refresh" content="10;url=' . append_sid("index.$phpEx") . '">')
		);

		message_die(GENERAL_MESSAGE, $lang['Already_activated']);
	}
	else if ((trim($row['user_actkey']) == trim($HTTP_GET_VARS['act_key'])) && (trim($row['user_actkey']) != ''))
	{
		$sql_update_pass = ( $row['user_newpasswd'] != '' ) ? ", user_password = '" . str_replace("\'", "''", $row['user_newpasswd']) . "', user_newpasswd = ''" : '';

		$sql = "UPDATE " . USERS_TABLE . "
			SET user_active = 1, user_actkey = ''" . $sql_update_pass . " 
			WHERE user_id = " . $row['user_id']; 
		if ( !($result = $db->sql_query($sql)) )
		{
			message_die(GENERAL_ERROR, 'Could not update users table', '', __LINE__, __FILE__, $sql_update);
		}

		if ( intval($board_config['require_activation']) == USER_ACTIVATION_ADMIN && $sql_update_pass == '' )
		{
			include($phpbb_root_path . 'includes/emailer.'.$phpEx);
			$emailer = new emailer($board_config['smtp_delivery']);

			$emailer->from($board_config['board_email']);
			$emailer->replyto($board_config['board_email']);

			$emailer->use_template('admin_welcome_activated', $row['user_lang']);
			$emailer->email_address($row['user_email']);
			$emailer->set_subject($lang['Account_activated_subject']);

			$emailer->assign_vars(array(
				'SITENAME' => $board_config['sitename'], 
				'USERNAME' => $row['username'],
				'PASSWORD' => $password_confirm,
				'EMAIL_SIG' => (!empty($board_config['board_email_sig'])) ? str_replace('<br />', "\n", "-- \n" . $board_config['board_email_sig']) : '')
			);
			$emailer->send();
			$emailer->reset();

			$template->assign_vars(array(
				'META' => '<meta http-equiv="refresh" content="10;url=' . append_sid("index.$phpEx") . '">')
			);

			message_die(GENERAL_MESSAGE, $lang['Account_active_admin']);
		}
		else
		{
			$template->assign_vars(array(
				'META' => '<meta http-equiv="refresh" content="10;url=' . append_sid("index.$phpEx") . '">')
			);

			$message = ( $sql_update_pass == '' ) ? $lang['Account_active'] : $lang['Password_activated']; 
			message_die(GENERAL_MESSAGE, $message);
		}
	}
	else
	{
		message_die(GENERAL_MESSAGE, $lang['Wrong_activation']);
	}
}
else
{
	message_die(GENERAL_MESSAGE, $lang['No_such_user']);
}

?>
Even in code tags gezet - Stef

Zal ik volgende keer zelf even doen.. :)
Bedankt :thumb:
Laatst gewijzigd door pumpeduse op 01 nov 2005, 22:15, 1 keer totaal gewijzigd.
Omhoog
Trudy
Berichten: 385
Lid geworden op: 24 okt 2003, 21:01

Bericht door Trudy » 01 nov 2005, 22:13

Trudy schreef:
paulus schreef:
Trudy schreef:en ja hoor, ik ben er weer. alweer een fout :cry:

Code: Selecteer alles

Fatal error: Call to undefined function: session_pagestart() in /usr/home/about/public_html/joa/viewtopic.php on line 170
Ik heb al viewtopic.php, sessions.php, common.php opnieuw aangepast. Ik weet niet meer wat ik moet doen
Sessions.php niet goed aangepast :)
kan iemand me helpen?

http://www.about-us.nl/sessions.txt

nu krijg ik deze fout :S, en had niets verandert:

Code: Selecteer alles

Fatal error: Call to undefined function: session_pagestart() in /usr/home/about/public_html/joa/portal.php on line 67
Niemand weet het dus. Naja dan zal ik alle mods maar weer opnieuw moeten installeren :(.. Heb er zown 20 mods opstaan :(
Omhoog
The Sting
Berichten: 762
Lid geworden op: 11 okt 2004, 16:12
Locatie: Brabant

Bericht door The Sting » 02 nov 2005, 01:32

Heb heel de upgrade klaar, maar dit stukje krijg ik niet zonder error voor elkaar. De code (!$submit) ? ', kom ik hier in drie opvolgende regels tegen, moeten die allemaal?.

Code: Selecteer alles

posting.php
#
#-----[ FIND ]---------------------------------------------
# NOTE --- This is a partial match, the whole line on a fresh installation looks like this:
#		$select_sql = ( !$submit ) ? ", t.topic_title, p.enable_bbcode, p.enable_html, p.enable_smilies, p.enable_sig, p.post_username, pt.post_subject, pt.post_text, pt.bbcode_uid, u.username, u.user_id, u.user_sig" : '';
#
		$select_sql = ( !$submit ) ? "

#
#-----[ IN-LINE FIND ]---------------------------------------------
#
( !$submit ) ? "

#
#-----[ IN-LINE REPLACE WITH ]---------------------------------------------
#
(!$submit) ? '

#-----[ IN-LINE FIND ]---------------------------------------------
#
"

#
#-----[ IN-LINE REPLACE WITH ]---------------------------------------------
#
'
Hier mijn stuk code.

Code: Selecteer alles

$select_sql = ( !$submit ) ? ", t.topic_title, p.enable_bbcode, p.enable_html, p.enable_smilies, p.enable_sig, p.post_username, p.post_time, pt.post_subject, pt.post_text, pt.bbcode_uid, u.username, u.user_id, u.user_sig" : '';
		$from_sql = ( !$submit ) ? ", " . POSTS_TEXT_TABLE . " pt, " . USERS_TABLE . " u" : '';
		$where_sql = ( !$submit ) ? "AND pt.post_id = p.post_id AND u.user_id = p.poster_id" : '';
Met groet, The Sting
Omhoog
Gebruikersavatar
mosymuis
Berichten: 6940
Lid geworden op: 05 feb 2003, 14:00
Locatie: Amsterdam
Contacteer:
Contacteer mosymuis

Bericht door mosymuis » 02 nov 2005, 09:18

mosymuis schreef:
Bee schreef:Er zit een kritieke update in, zeer vermoedelijk een SQL Injection.
Nee, de enige echte security update (één met weinig risico's) is een XSS bugfix in de verwerking van up te loaden avatars.
Hier kom ik op terug; er worden verscheidene beveiligingsfouten gedicht, die uiteenlopen van code executie, XSS en inderdaad SQL injectie. Het meeste risico bestaat op ongepatchte phpBB forums op een PHP5 webserver. Het is hoe dan ook zaak zo snel mogelijk up te daten!
Omhoog
Gebruikersavatar
Paul
Beheerder
Beheerder
Berichten: 20315
Lid geworden op: 23 okt 2003, 11:38
Locatie: Utrecht
Contacteer:
Contacteer Paul

Bericht door Paul » 02 nov 2005, 11:03

The Sting schreef:Heb heel de upgrade klaar, maar dit stukje krijg ik niet zonder error voor elkaar. De code (!$submit) ? ', kom ik hier in drie opvolgende regels tegen, moeten die allemaal?.

Code: Selecteer alles

posting.php
#
#-----[ FIND ]---------------------------------------------
# NOTE --- This is a partial match, the whole line on a fresh installation looks like this:
#		$select_sql = ( !$submit ) ? ", t.topic_title, p.enable_bbcode, p.enable_html, p.enable_smilies, p.enable_sig, p.post_username, pt.post_subject, pt.post_text, pt.bbcode_uid, u.username, u.user_id, u.user_sig" : '';
#
		$select_sql = ( !$submit ) ? "

#
#-----[ IN-LINE FIND ]---------------------------------------------
#
( !$submit ) ? "

#
#-----[ IN-LINE REPLACE WITH ]---------------------------------------------
#
(!$submit) ? '

#-----[ IN-LINE FIND ]---------------------------------------------
#
"

#
#-----[ IN-LINE REPLACE WITH ]---------------------------------------------
#
'
Hier mijn stuk code.

Code: Selecteer alles

$select_sql = ( !$submit ) ? ", t.topic_title, p.enable_bbcode, p.enable_html, p.enable_smilies, p.enable_sig, p.post_username, p.post_time, pt.post_subject, pt.post_text, pt.bbcode_uid, u.username, u.user_id, u.user_sig" : '';
		$from_sql = ( !$submit ) ? ", " . POSTS_TEXT_TABLE . " pt, " . USERS_TABLE . " u" : '';
		$where_sql = ( !$submit ) ? "AND pt.post_id = p.post_id AND u.user_id = p.poster_id" : '';
Altijd de eerste dan :)
Omhoog
Coenemeloen
Berichten: 63
Lid geworden op: 01 okt 2005, 20:51

Bericht door Coenemeloen » 02 nov 2005, 11:40

Ik heb een probleempje, en volgens mij komt dat na deze update...Ik kan niet meer in mijn administratiepaneel komen :(
Omhoog
Gebruikersavatar
Paul
Beheerder
Beheerder
Berichten: 20315
Lid geworden op: 23 okt 2003, 11:38
Locatie: Utrecht
Contacteer:
Contacteer Paul

Bericht door Paul » 02 nov 2005, 11:46

Wat voor fout krijg je? OF wat gebeurt er dan wel?
Omhoog
Gesloten

Terug naar “2.0 Discussie”