Update auf phpBB 2.0.11 [edit: 2.0.20] // [sub] und [sup]

[ADMIN] Hier wird alles, was planetweizen selbst betrifft, bekanntgegeben und diskutiert.

Moderatoren: tuff, Bergfrühling, Weizen, Kwolfli

Antworten
Benutzeravatar
Weizen
Cheffe
Cheffe
Beiträge: 3573
Registriert: 08.04.2002 - 15:37
Wohnort: Deizisau
Kontaktdaten:

Update auf phpBB 2.0.11 [edit: 2.0.20] // [sub] und [sup]

Beitrag von Weizen »

In den phpBB-Versionen bis 2.0.10 ist eine größere Sicherheitslücke vorhanden [Artikel bei heise Security], die mit der Version 2.0.11 von Mitte November behoben wurde. Da es in der alten Version wohl möglich ist, beliebige Daten auf dem Server zu ändern oder zu löschen wurde ich von meinem Hoster darauf hingewiesen, dass ich das Update heute noch durchführen soll.

Aufgrund der diversen Modifikationen, die hier eingebaut sind, kann das allerdings einige Zeit in Anspruch nehmen. Daher ist planetweizen möglicherweise ab heute abend für längere Zeit nicht erreichbar. Spätestens Heilig Abend sollte aber wieder alles laufen :)

EDIT: Das Board ist vorerst noch online -- ich bin aber noch am Einbauen, wundert euch also nicht, wenn mal was nicht tut und kommt bloß nicht auf so seltsame Gedanken wie euer Profil ändern zu wollen (in dem Fall werden Geburtstag, Realname etc. mal wieder verworfen ;))

EDIT²: Ich mach für heute Schluss.

Diese Modifikationen sind bereits wieder drin:
  • Symbol-Tag
  • Sonderzeichen mit &...;
  • Statistiken
  • Größere Überschriften über Beiträgen
  • Benutzerdefinierte Ränge
  • Bildergalerie
  • Erweiterte Zitatfunktion
Folgende Modifikationen sind noch nicht wieder eingebaut:
  • Geschlecht im Profil
  • Realname im Profil
  • Geburtstage
  • Aktuellen Thread in der Forenübersicht anzeigen
  • Themen / Beiträge zusammenführen (betrifft nur Moderatoren)
  • Durchstreichen
  • Me and You (okay, der ist eh nicht für die Allgemeinheit ;))
  • Textausrichtung
  • Letzte Themen
Bitte verzichtet daher vorerst darauf, euer Profil zu bearbeiten, da sonst die Informationen zu Geschlecht, Realname und Geburtstag aus der Datenbank gelöscht werden.

Bitte sagt mir auch Bescheid, falls euch auffällt, dass ich in der Aufstellung was vergessen hab.
Zuletzt geändert von Weizen am 06.06.2006 - 16:21, insgesamt 6-mal geändert.
SYNTAX? Why not - they tax everything else!
Benutzeravatar
Weizen
Cheffe
Cheffe
Beiträge: 3573
Registriert: 08.04.2002 - 15:37
Wohnort: Deizisau
Kontaktdaten:

Es geht weiter...

Beitrag von Weizen »

Diese Modifikationen sind bereits wieder drin:
  • Symbol-Tag
  • Sonderzeichen mit &...;
  • Statistiken
  • Größere Überschriften über Beiträgen
  • Benutzerdefinierte Ränge
  • Bildergalerie
  • Erweiterte Zitatfunktion
  • Geschlecht im Profil
  • Realname im Profil
  • Geburtstage
Folgende Modifikationen sind noch nicht wieder eingebaut:
  • Aktuellen Thread in der Forenübersicht anzeigen
  • Themen / Beiträge zusammenführen (betrifft nur Moderatoren)
  • Durchstreichen
  • Me and You (okay, der ist eh nicht für die Allgemeinheit ;))
  • Textausrichtung
  • Letzte Themen
Das Bearbeiten des Profils sollte jetzt wieder problemlos möglich sein :)
SYNTAX? Why not - they tax everything else!
Benutzeravatar
Weizen
Cheffe
Cheffe
Beiträge: 3573
Registriert: 08.04.2002 - 15:37
Wohnort: Deizisau
Kontaktdaten:

Beitrag von Weizen »

Feddisch :)

Jetzt sollte alles wieder drin sein. Sagt halt Bescheid, falls ich was vergessen hab ;)
SYNTAX? Why not - they tax everything else!
Benutzeravatar
Weizen
Cheffe
Cheffe
Beiträge: 3573
Registriert: 08.04.2002 - 15:37
Wohnort: Deizisau
Kontaktdaten:

Beitrag von Weizen »

Ich hab noch zwei neue Tags eingebaut: mit [sub] kann man [sub]tiefgestellten Text[/sub] und mit [sup] [sup]hochgestellten Text[/sup] produzieren :)
SYNTAX? Why not - they tax everything else!
Kwolfli
Modiator
Modiator
Beiträge: 2804
Registriert: 11.04.2002 - 17:59
Wohnort: Hohenhaslach
Kontaktdaten:

Beitrag von Kwolfli »

The first 90% of the code accounts for the first 90% of the development time.
The remaining 10% of the code accounts for the other 90% of the development time.
Benutzeravatar
Weizen
Cheffe
Cheffe
Beiträge: 3573
Registriert: 08.04.2002 - 15:37
Wohnort: Deizisau
Kontaktdaten:

Beitrag von Weizen »

Done :)

Mit dem einzigen Unterschied, dass ich die Versionsnummer im Footer weiterhin anzeigen lasse -- aus irgend einem mir unbekannten Grund soll man die beim Update rausschmeißen... :rolleyes: ;)
SYNTAX? Why not - they tax everything else!
Kwolfli
Modiator
Modiator
Beiträge: 2804
Registriert: 11.04.2002 - 17:59
Wohnort: Hohenhaslach
Kontaktdaten:

Beitrag von Kwolfli »

Vermutlich Security by Obscurity... :rolleyes:
The first 90% of the code accounts for the first 90% of the development time.
The remaining 10% of the code accounts for the other 90% of the development time.
Benutzeravatar
Weizen
Cheffe
Cheffe
Beiträge: 3573
Registriert: 08.04.2002 - 15:37
Wohnort: Deizisau
Kontaktdaten:

Beitrag von Weizen »

Yo... oder ein signifikanter Anteil der phpBB-Nutzer war geistig nicht in der Lage, nach dem Update das Script laufen zu lassen, das die Versionsnummer in der Datenbank aktualisiert und die Entwickler sind zu dem Schluss gekommen, dass es besser ist, wenn gar nichts angezeigt wird :D
SYNTAX? Why not - they tax everything else!
Benutzeravatar
Weizen
Cheffe
Cheffe
Beiträge: 3573
Registriert: 08.04.2002 - 15:37
Wohnort: Deizisau
Kontaktdaten:

Beitrag von Weizen »

Da mal wieder irgendein critical issue zu fixen war, hab ich eben von 2.0.13 auf 2.0.16 erhöht.
SYNTAX? Why not - they tax everything else!
Kwolfli
Modiator
Modiator
Beiträge: 2804
Registriert: 11.04.2002 - 17:59
Wohnort: Hohenhaslach
Kontaktdaten:

Beitrag von Kwolfli »

Und da ist auch schon der nächste. Hab mir zum Spaß mal den Exploit angeschaut und festgestellt, daß sowohl das kwf als auch Invers anfällig gegen solche Eingaben sind. Wobei das in einem Forum tendenziell doch ungemütlicher ist. Ich sollte doch mal die 2.3.9 rausbringen. ;)
The first 90% of the code accounts for the first 90% of the development time.
The remaining 10% of the code accounts for the other 90% of the development time.
Benutzeravatar
Weizen
Cheffe
Cheffe
Beiträge: 3573
Registriert: 08.04.2002 - 15:37
Wohnort: Deizisau
Kontaktdaten:

Beitrag von Weizen »

Kwolfli hat geschrieben:Und da ist auch schon der nächste.
2.0.17 ist drauf.
Kwolfli hat geschrieben:Hab mir zum Spaß mal den Exploit angeschaut und festgestellt, daß sowohl das kwf als auch Invers anfällig gegen solche Eingaben sind. Wobei das in einem Forum tendenziell doch ungemütlicher ist.
Was war denn da jetzt genau der Unterschied? Irgendwelche Zeichen dürfen nicht mehr in URLs auftauchen, oder wie? RegExps sind mir irgendwie immernoch zu hoch...
Kwolfli hat geschrieben:Ich sollte doch mal die 2.3.9 rausbringen. ;)
Tu das -- bei der Gelegenheit kannst du ja gleich deine Homepage wieder online stellen ;)
SYNTAX? Why not - they tax everything else!
Kwolfli
Modiator
Modiator
Beiträge: 2804
Registriert: 11.04.2002 - 17:59
Wohnort: Hohenhaslach
Kontaktdaten:

Beitrag von Kwolfli »

Weizen hat geschrieben:Was war denn da jetzt genau der Unterschied? Irgendwelche Zeichen dürfen nicht mehr in URLs auftauchen, oder wie? RegExps sind mir irgendwie immernoch zu hoch...
Das Grundproblem sind ja mal wieder die verschachtelten URL-Tags gewesen. Sowas wie

Code: Alles auswählen

[url][url=onMouseOver='alert(42)']xyz[/url][/url]
wird dann z.B. zu sowas:

Code: Alles auswählen

<a href="<a href="onMouseOver='alert&#40;42&#41;' target="_blank">xyz</a>" target="_blank"><a href="onMouseOver='alert&#40;42&#41;'" target="_blank">xyz</a></a>
Im phpBB werden solche Sachen wohl normal irgendwie nochmal hinterher durch verschiedene (lückenhafte...) Prüfungen abgefangen, so daß zu so einem Exploit nochmal mehr dazugehört, aber das ist Grundproblem, soweit ich das sehe.
Tu das -- bei der Gelegenheit kannst du ja gleich deine Homepage wieder online stellen ;)
Hm, stimmt, Webspace wollte ich mir eigentlich auch mal wieder suchen, hast recht...
The first 90% of the code accounts for the first 90% of the development time.
The remaining 10% of the code accounts for the other 90% of the development time.
Benutzeravatar
Weizen
Cheffe
Cheffe
Beiträge: 3573
Registriert: 08.04.2002 - 15:37
Wohnort: Deizisau
Kontaktdaten:

Beitrag von Weizen »

Ich hab in den letzten Stunden nacheinander 2.0.18, 2.0.19 und 2.0.20 draufgespielt. Es funktioniert zwar noch nicht alles, aber jetzt hab ich definitiv keine Lust mehr ;) Neue Benutzer können sich momentan nicht aktivieren, wer noch mehr Fehler findet, möge mir bitte Bescheid geben. Merci!

Nachtrag: Freischaltung funktioniert jetzt wieder.

Nachtrag²: Ich hab inzwischen noch ein paar andere Sachen behoben, die ich falsch eingebaut hatte (Syntaxfehler bei den PNs, fehlerhafte URL-Umwandlung) und hoffe, der Rest funktioniert auch wieder. Außerdem muss man jetzt einen kleinen Intelligenztest bewältigen, um sich zu registrieren (d. h. die Frage nach dem Bundesland, aus dem planetweizen.de laut Untertitel stammt, mit "Baden-Württemberg" oder "Baden-Wuerttemberg" beantworten) -- ich hoffe, das reduziert die reinen Spam-Anmeldungen etwas.
SYNTAX? Why not - they tax everything else!
Antworten