MyBB.de Forum
[NG] Sicherheitslücke im Kalender - Druckversion

+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: Archiv (https://www.mybb.de/forum/forum-57.html)
+--- Forum: MyBB 1.4.x (https://www.mybb.de/forum/forum-51.html)
+---- Forum: Bugs (https://www.mybb.de/forum/forum-54.html)
+----- Forum: Gemeldete/Nicht gemeldete Bugs (https://www.mybb.de/forum/forum-56.html)
+----- Thema: [NG] Sicherheitslücke im Kalender (/thread-12032.html)

Seiten: Seiten: 1 2


[NG] Sicherheitslücke im Kalender - Jazzman - 08.01.2009

Hallo,

aus irgendeinem Grund können nicht registrierte Benutzer scheinbar durch Ausnutzen irgendeiner Lücke in meinem MyBB 1.4.4 Kalenderereignisse erstellen, obwohl sie laut Einstellungen den Kalender nur betrachten können. Das machen sich diverse Bots jedenfall szunutze:

http://cordanien.de/forum/calendar.php?action=dayview&calendar=1&year=2009&month=1&day=2


RE: Sicherheitslücke im Kalender - Michael - 08.01.2009

Hast du Zugriff auf die access-Logs des Webservers? Falls ja, schicke bitte die Logs aus dem betroffenen Zeitraum an support[at]mybboard[punkt]de.

Welche Erweiterungen sind installiert?


RE: Sicherheitslücke im Kalender - Jazzman - 09.01.2009

Habe nur die Wikipedia-Erweiterung (Roland Illig), Image Resizer (Cipher) und invite new user (Arash) aktiv. Was für Logs brauchst Du? Ich habe AWstats für Zugriffsinformationen. Einzelzugriffe konnte ich dort leider bisher nicht auftreiben.


RE: Sicherheitslücke im Kalender - frostschutz - 09.01.2009

Wenn du AWStats hast dann liegt normalerweise auch irgendwo eine access.log da das die Datei ist, die AWStats auswertet um die Statistiken anzeigen zu können.


RE: Sicherheitslücke im Kalender - Jazzman - 09.01.2009

Ja...irgendwo Wink

EDIT: Hab sie gefunden, Log-Daten sind gleich auf dem Weg.


RE: Sicherheitslücke im Kalender - Michael - 09.01.2009

Kannst du bitte die gesamte Datei in ein Archiv packen und schicken? Die Auszüge reichen nicht aus.


RE: Sicherheitslücke im Kalender - Jazzman - 09.01.2009

Kommt sofort. Es gibt aber 100%ig jedes Mal nur diese beiden Zugriffe.


RE: Sicherheitslücke im Kalender - Michael - 09.01.2009

In den Logs gibt es nicht einen Zugriff, der die Entstehung der Einträge erklärt. Hattst du in der letzen Zeit etwas an den Berechtigungen geändert?


RE: Sicherheitslücke im Kalender - Jazzman - 10.01.2009

Nein, hatte ich nicht. Hab beim Aufräumen des Kalenders allerdings noch einiges mehr an Spam gefunden, der meiner Meinung nach schon eingegangen sein muss, als ich noch MyBB 1.2 am Laufen hatte.


RE: Sicherheitslücke im Kalender - Michael - 11.01.2009

Ich bitte dich das Ganze mal zu beobachten. Sollte der Spam schon länger im System gewesen sein, ist es schwer zu sagen woher er kam.