Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
Autor |
Nachricht |
Weizen Cheffe

Alter: 37 Anmeldungsdatum: 08.04.2002 Beiträge: 3571 Wohnort: Deizisau
|
Verfasst am: 22.12.2004 - 17:09
Titel: Update auf phpBB 2.0.11 [edit: 2.0.20] // [sub] und [sup] |
|
|
In den phpBB-Versionen bis 2.0.10 ist eine größere Sicherheitslücke vorhanden [Artikel bei heise Security], die mit der Version 2.0.11 von Mitte November behoben wurde. Da es in der alten Version wohl möglich ist, beliebige Daten auf dem Server zu ändern oder zu löschen wurde ich von meinem Hoster darauf hingewiesen, dass ich das Update heute noch durchführen soll.
Aufgrund der diversen Modifikationen, die hier eingebaut sind, kann das allerdings einige Zeit in Anspruch nehmen. Daher ist planetweizen möglicherweise ab heute abend für längere Zeit nicht erreichbar. Spätestens Heilig Abend sollte aber wieder alles laufen :)
EDIT: Das Board ist vorerst noch online -- ich bin aber noch am Einbauen, wundert euch also nicht, wenn mal was nicht tut und kommt bloß nicht auf so seltsame Gedanken wie euer Profil ändern zu wollen (in dem Fall werden Geburtstag, Realname etc. mal wieder verworfen )
EDIT²: Ich mach für heute Schluss.
Diese Modifikationen sind bereits wieder drin:
- Symbol-Tag
- Sonderzeichen mit &...;
- Statistiken
- Größere Überschriften über Beiträgen
- Benutzerdefinierte Ränge
- Bildergalerie
- Erweiterte Zitatfunktion
Folgende Modifikationen sind noch nicht wieder eingebaut:
- Geschlecht im Profil
- Realname im Profil
- Geburtstage
- Aktuellen Thread in der Forenübersicht anzeigen
- Themen / Beiträge zusammenführen (betrifft nur Moderatoren)
- Durchstreichen
- Me and You (okay, der ist eh nicht für die Allgemeinheit
)
- Textausrichtung
- Letzte Themen
Bitte verzichtet daher vorerst darauf, euer Profil zu bearbeiten, da sonst die Informationen zu Geschlecht, Realname und Geburtstag aus der Datenbank gelöscht werden.
Bitte sagt mir auch Bescheid, falls euch auffällt, dass ich in der Aufstellung was vergessen hab. _________________ SYNTAX? Why not - they tax everything else!
Zuletzt bearbeitet von Weizen am 06.06.2006 - 16:21, insgesamt 6 Male bearbeitet |
|
Nach oben |
|
 |
Weizen Cheffe

Alter: 37 Anmeldungsdatum: 08.04.2002 Beiträge: 3571 Wohnort: Deizisau
|
Verfasst am: 23.12.2004 - 14:30
Titel: Es geht weiter... |
|
|
Diese Modifikationen sind bereits wieder drin:
- Symbol-Tag
- Sonderzeichen mit &...;
- Statistiken
- Größere Überschriften über Beiträgen
- Benutzerdefinierte Ränge
- Bildergalerie
- Erweiterte Zitatfunktion
- Geschlecht im Profil
- Realname im Profil
- Geburtstage
Folgende Modifikationen sind noch nicht wieder eingebaut:
- Aktuellen Thread in der Forenübersicht anzeigen
- Themen / Beiträge zusammenführen (betrifft nur Moderatoren)
- Durchstreichen
- Me and You (okay, der ist eh nicht für die Allgemeinheit
)
- Textausrichtung
- Letzte Themen
Das Bearbeiten des Profils sollte jetzt wieder problemlos möglich sein  _________________ SYNTAX? Why not - they tax everything else! |
|
Nach oben |
|
 |
Weizen Cheffe

Alter: 37 Anmeldungsdatum: 08.04.2002 Beiträge: 3571 Wohnort: Deizisau
|
Verfasst am: 24.12.2004 - 00:19
Titel: |
|
|
Feddisch :)
Jetzt sollte alles wieder drin sein. Sagt halt Bescheid, falls ich was vergessen hab  _________________ SYNTAX? Why not - they tax everything else! |
|
Nach oben |
|
 |
Weizen Cheffe

Alter: 37 Anmeldungsdatum: 08.04.2002 Beiträge: 3571 Wohnort: Deizisau
|
Verfasst am: 25.12.2004 - 12:42
Titel: |
|
|
Ich hab noch zwei neue Tags eingebaut: mit [sub] kann man tiefgestellten Text und mit [sup] hochgestellten Text produzieren  _________________ SYNTAX? Why not - they tax everything else! |
|
Nach oben |
|
 |
Kwolfli Modiator

Alter: 34 Anmeldungsdatum: 11.04.2002 Beiträge: 2804 Wohnort: Hohenhaslach
|
Verfasst am: 28.02.2005 - 19:29
Titel: |
|
|
Darfst mal wieder: http://www.heise.de/security/news/meldung/56866 _________________ The first 90% of the code accounts for the first 90% of the development time.
The remaining 10% of the code accounts for the other 90% of the development time. |
|
Nach oben |
|
 |
Weizen Cheffe

Alter: 37 Anmeldungsdatum: 08.04.2002 Beiträge: 3571 Wohnort: Deizisau
|
Verfasst am: 10.03.2005 - 16:06
Titel: |
|
|
Done :)
Mit dem einzigen Unterschied, dass ich die Versionsnummer im Footer weiterhin anzeigen lasse -- aus irgend einem mir unbekannten Grund soll man die beim Update rausschmeißen...  _________________ SYNTAX? Why not - they tax everything else! |
|
Nach oben |
|
 |
Kwolfli Modiator

Alter: 34 Anmeldungsdatum: 11.04.2002 Beiträge: 2804 Wohnort: Hohenhaslach
|
Verfasst am: 10.03.2005 - 21:34
Titel: |
|
|
Vermutlich Security by Obscurity...  _________________ The first 90% of the code accounts for the first 90% of the development time.
The remaining 10% of the code accounts for the other 90% of the development time. |
|
Nach oben |
|
 |
Weizen Cheffe

Alter: 37 Anmeldungsdatum: 08.04.2002 Beiträge: 3571 Wohnort: Deizisau
|
Verfasst am: 11.03.2005 - 14:16
Titel: |
|
|
Yo... oder ein signifikanter Anteil der phpBB-Nutzer war geistig nicht in der Lage, nach dem Update das Script laufen zu lassen, das die Versionsnummer in der Datenbank aktualisiert und die Entwickler sind zu dem Schluss gekommen, dass es besser ist, wenn gar nichts angezeigt wird  _________________ SYNTAX? Why not - they tax everything else! |
|
Nach oben |
|
 |
Weizen Cheffe

Alter: 37 Anmeldungsdatum: 08.04.2002 Beiträge: 3571 Wohnort: Deizisau
|
Verfasst am: 09.07.2005 - 22:06
Titel: |
|
|
Da mal wieder irgendein critical issue zu fixen war, hab ich eben von 2.0.13 auf 2.0.16 erhöht. _________________ SYNTAX? Why not - they tax everything else! |
|
Nach oben |
|
 |
Kwolfli Modiator

Alter: 34 Anmeldungsdatum: 11.04.2002 Beiträge: 2804 Wohnort: Hohenhaslach
|
Verfasst am: 18.07.2005 - 18:14
Titel: |
|
|
Und da ist auch schon der nächste. Hab mir zum Spaß mal den Exploit angeschaut und festgestellt, daß sowohl das kwf als auch Invers anfällig gegen solche Eingaben sind. Wobei das in einem Forum tendenziell doch ungemütlicher ist. Ich sollte doch mal die 2.3.9 rausbringen.  _________________ The first 90% of the code accounts for the first 90% of the development time.
The remaining 10% of the code accounts for the other 90% of the development time. |
|
Nach oben |
|
 |
Weizen Cheffe

Alter: 37 Anmeldungsdatum: 08.04.2002 Beiträge: 3571 Wohnort: Deizisau
|
Verfasst am: 31.07.2005 - 21:43
Titel: |
|
|
Kwolfli hat folgendes geschrieben: | Und da ist auch schon der nächste. |
2.0.17 ist drauf.
Kwolfli hat folgendes geschrieben: | Hab mir zum Spaß mal den Exploit angeschaut und festgestellt, daß sowohl das kwf als auch Invers anfällig gegen solche Eingaben sind. Wobei das in einem Forum tendenziell doch ungemütlicher ist. |
Was war denn da jetzt genau der Unterschied? Irgendwelche Zeichen dürfen nicht mehr in URLs auftauchen, oder wie? RegExps sind mir irgendwie immernoch zu hoch...
Kwolfli hat folgendes geschrieben: | Ich sollte doch mal die 2.3.9 rausbringen.  |
Tu das -- bei der Gelegenheit kannst du ja gleich deine Homepage wieder online stellen  _________________ SYNTAX? Why not - they tax everything else! |
|
Nach oben |
|
 |
Kwolfli Modiator

Alter: 34 Anmeldungsdatum: 11.04.2002 Beiträge: 2804 Wohnort: Hohenhaslach
|
Verfasst am: 01.08.2005 - 15:01
Titel: |
|
|
Weizen hat folgendes geschrieben: | Was war denn da jetzt genau der Unterschied? Irgendwelche Zeichen dürfen nicht mehr in URLs auftauchen, oder wie? RegExps sind mir irgendwie immernoch zu hoch... |
Das Grundproblem sind ja mal wieder die verschachtelten URL-Tags gewesen. Sowas wie
Code: | [url][url=onMouseOver='alert(42)']xyz[/url][/url] |
wird dann z.B. zu sowas:
Code: | <a href="<a href="onMouseOver='alert(42)' target="_blank">xyz</a>" target="_blank"><a href="onMouseOver='alert(42)'" target="_blank">xyz</a></a> |
Im phpBB werden solche Sachen wohl normal irgendwie nochmal hinterher durch verschiedene (lückenhafte...) Prüfungen abgefangen, so daß zu so einem Exploit nochmal mehr dazugehört, aber das ist Grundproblem, soweit ich das sehe.
Zitat: | Tu das -- bei der Gelegenheit kannst du ja gleich deine Homepage wieder online stellen  |
Hm, stimmt, Webspace wollte ich mir eigentlich auch mal wieder suchen, hast recht... _________________ The first 90% of the code accounts for the first 90% of the development time.
The remaining 10% of the code accounts for the other 90% of the development time. |
|
Nach oben |
|
 |
Weizen Cheffe

Alter: 37 Anmeldungsdatum: 08.04.2002 Beiträge: 3571 Wohnort: Deizisau
|
Verfasst am: 06.06.2006 - 16:22
Titel: |
|
|
Ich hab in den letzten Stunden nacheinander 2.0.18, 2.0.19 und 2.0.20 draufgespielt. Es funktioniert zwar noch nicht alles, aber jetzt hab ich definitiv keine Lust mehr Neue Benutzer können sich momentan nicht aktivieren, wer noch mehr Fehler findet, möge mir bitte Bescheid geben. Merci!
Nachtrag: Freischaltung funktioniert jetzt wieder.
Nachtrag²: Ich hab inzwischen noch ein paar andere Sachen behoben, die ich falsch eingebaut hatte (Syntaxfehler bei den PNs, fehlerhafte URL-Umwandlung) und hoffe, der Rest funktioniert auch wieder. Außerdem muss man jetzt einen kleinen Intelligenztest bewältigen, um sich zu registrieren (d. h. die Frage nach dem Bundesland, aus dem planetweizen.de laut Untertitel stammt, mit "Baden-Württemberg" oder "Baden-Wuerttemberg" beantworten) -- ich hoffe, das reduziert die reinen Spam-Anmeldungen etwas. _________________ SYNTAX? Why not - they tax everything else! |
|
Nach oben |
|
 |
|