v2.1.x Master Update 2.1.0.3: Whos_online noch technisch ok?

Thema wurde von Anonymous, 17. September 2014 erstellt.

  1. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    19. Juni 2012
    Beiträge:
    4.831
    Danke erhalten:
    1.124
    Danke vergeben:
    947
    Hallo,

    ich kann mich irren, aber ist im Master Update 2.1.0.3 die XTC/OSC Sicherheitslücke in admin/whos_online.php wieder eingebaut oder täusche ich mich? Frage zur Sicherheit lieber nochmal nach. Gefixte version von 2.0.15.4 (etwa Z. 72):

    PHP:
    while ($whos_online xtc_db_fetch_array($whos_online_query)) {
        
    $whos_online['last_page_url'] = htmlentities($whos_online['last_page_url']);
        
    $time_online = (time() - $whos_online['time_entry']);
    Neue whos_online wieder ohne htmlentities:

    PHP:
    while ($whos_online xtc_db_fetch_array($whos_online_query)) {
        
    $time_online = (time() - $whos_online['time_entry']);
    Das Problem war, wenn ich mich recht entsinne, die Möglichkeit der SQL Injection durch eine ungefilterte last_page_url?
     
  2. Moritz (Gambio)

    Moritz (Gambio) Administrator

    Registriert seit:
    26. April 2011
    Beiträge:
    5.786
    Danke erhalten:
    2.693
    Danke vergeben:
    903
    Hallo Lena,

    der Fix ist noch enthalten, nur ist er im Script an anderer Stelle verbaut (Zeile 102):
    PHP:
    <?php echo htmlentities_wrapper($whos_online['last_page_url']); ?>
     
  3. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    19. Juni 2012
    Beiträge:
    4.831
    Danke erhalten:
    1.124
    Danke vergeben:
    947
    Prima, alles andere hätte mich auch gewundert ;-) Und danke für die schnelle Antwort.
     
  4. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.310
    Danke vergeben:
    2.208
    Du hast uns ganz schön aufgescheucht...

    Keine 5 Minuten nach deinem Post waren schon 3 Leute von uns an der Gegenprüfung :)
     
  5. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    19. Juni 2012
    Beiträge:
    4.831
    Danke erhalten:
    1.124
    Danke vergeben:
    947
    Oops... Sorry. Habe extra schon den Titel noch nachträglich geändert, damit nicht das böse Wort im Forum steht und alle Angst bekommen...
     
  6. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.310
    Danke vergeben:
    2.208
    Keine Bange, das war schon valide das zu fragen und richtig. Je eher wir um einen Mangel wissen wenn es denn einen gibt, desto besser, darum immer her damit wenn du oder wer anders da einen Verdacht hegt.