MyBB.de Forum

MyBB.de Forum > Archiv > MyBB 1.2.x und älter > Bugs > Gemeldete/Nicht gemeldete Bugs > [G] HTML Sicherheitslücke in Abwesenheitsoption
Normale Version: [G] HTML Sicherheitslücke in Abwesenheitsoption
Du siehst gerade eine vereinfachte Darstellung unserer Inhalte. Normale Ansicht mit richtiger Formatierung.
Seiten: 1 2

iamstillalive

13.04.2007, 21:20
Schaut es euch an:

https://www.mybb.de/forum/member.php?act...le&uid=988

Wie ich es geschafft habe? Mit einem einfachem HTML Code, einfach in der Abwesenheits Option angeben.

Ich könnte noch größere Schäden anrichten, was ich aber nicht machen werde.

Wie wäre es mit einem Fix?

Every

13.04.2007, 21:30
jo da hast du recht: https://www.mybb.de/forum/member.php?act...e&uid=1725

High Risk

Every

13.04.2007, 23:17
so, ich hab den Bug gefunden Smile

Unofficial Patch:

open the usercp.php and find: (line 198)
Code:
            "awayreason" => $mybb->input['awayreason']

and replace it with:
Code:
            "awayreason" => htmlspecialchars_uni($mybb->input['awayreason'])

modercol

13.04.2007, 23:26
aber warum musst du basti dein Board so lange schließen? Wenn der bug jetzt schon behoben ist....

Every

13.04.2007, 23:29
er weiß davon wahrscheinlich noch nichts^^

@iamstillalive: Mal gucken wie lange die bei mybboard.net brauchen um die Lücke zu schließen...löschen einfach unseren Thread...tztz

Michael

13.04.2007, 23:50
@Every: Die Threads wurden nicht gelöscht, sondern ins interne Forum verschoben. Dein Fix ist auch nicht ganz korrekt, da er a) nur neue Signaturen beachtet und b) beim MyBB der Inhalt erst vor der Ausgabe bearbeitet wird.

Fix
Datei member.php öffnen und suchen nach:
PHP-Code:
$awayreason $memprofile['awayreason']; 
Ersetzen durch:
PHP-Code:
$awayreason htmlspecialchars_uni($memprofile['awayreason']); 

Ich möchte auch hier nochmal darauf hinweisen, dass Sicherheitsprobleme besser über das Kontaktformular eingeschickt werden sollen, insbesondere wenn es sich um schwerwiegende Fehler handelt (wozu dieser nicht gehört).

Every

14.04.2007, 00:08
achso, okay...danke.

Elrond

14.04.2007, 10:27
Da habt ihr aber sehr schnell reagiert, vielen Dank.

Aber was ist denn nun richtig? Das was du hier schreibst, Michael:

Michael schrieb:Fix
Datei member.php öffnen und suchen nach:
PHP-Code:
$awayreason $memprofile['awayreason']; 
Ersetzen durch:
PHP-Code:
$awayreason htmlspecialchars_uni($memprofile['awayreason']); 

oder das hier was in der mybb_124_xss_fix.txt steht:

Zitat:=====================
2. member.php
=====================

Find:
--
$memprofile['awayreason'] = htmlspecialchars_uni($memprofile['awayreason']);
--

Replace it with:
--
$awayreason = htmlspecialchars_uni($memprofile['awayreason']);
--

Weil sich beide sehr deutlich unterscheiden und der offizielle Fix für mich so keinen Sinn macht. Oder ich bin zu blond dafür **lach**

DaStaFlexX

14.04.2007, 10:39
lol... Toungue

Die Frage hab ich mir auch gerade gestellt !
...und ich bin nicht blond Big Grin

Ich denke am besten ist man lädt das Archiv "mybb_125_changed_files.zip" runter,
und ersetzt die vorhandenen dateien !

Also so hab ich es nun gemacht, und funktioniert wunderbar !

Ich denke in "mybb_124_xss_fix.txt" ist ein Fehler enthalten !

bis gli...
greetz DaStaFlexX

Michael

14.04.2007, 11:15
Beide Fixes bewirken das gleiche, nur eben an einer anderen Stelle.
Seiten: 1 2
MyBB.de Forum > Archiv > MyBB 1.2.x und älter > Bugs > Gemeldete/Nicht gemeldete Bugs > [G] HTML Sicherheitslücke in Abwesenheitsoption