MyXoops Forum

Bugfix für Sicherheitslücke Identitätswechsel - XOOPS 2.3.1 [Sicherheit von XOOPS] - myXOOPS German Support

alfred

Administrator
Gepostet am:26.11.2008 01:00
alfred
alfred Offline (Show more)
Administrator
Posts: 7618
Since: 06.12.2004
#1

Bugfix für Sicherheitslücke Identitätswechsel - XOOPS 2.3.1

Anleitung:

ausgehend vom XOOPS_ROOT_PATH (da wo die mainfile.php liegt)

Datei /include/checklogin.php:
Suche nach (ca Zeile 81):

// Set cookie for rememberme
if ( !empty($xoopsConfig['usercookie']) ) {
  if ( !empty(
$_POST["rememberme"]) ) {
    
setcookie($xoopsConfig['usercookie'], $_SESSION['xoopsUserId'], time() + 31536000'/',  ''0);
  } else {
    
setcookie($xoopsConfig['usercookie'], 0, -1'/',  ''0);
  }
}


ersetzen mit

// Set cookie for rememberme
if ( !empty($xoopsConfig['usercookie']) ) {
  if ( !empty(
$_POST["rememberme"]) ) {
    
setcookie($xoopsConfig['usercookie'], $_SESSION['xoopsUserId']."-".md5($user->getVar('pass').XOOPS_DB_PASS.XOOPS_DB_PREFIX), time() + 31536000'/',  ''0);
  } else {
    
setcookie($xoopsConfig['usercookie'], 0, -1'/',  ''0);
  }
}


weiter Datei /include/common.php (Zeile 262), suche nach:

// Load xoopsUserId from cookie if "Remember me" is enabled.
if (empty($_SESSION['xoopsUserId']) && !empty($xoopsConfig['usercookie']) && !empty($_COOKIE[$xoopsConfig['usercookie']])) {
    
$_SESSION['xoopsUserId'] = $_COOKIE[$xoopsConfig['usercookie']];
}


ersetzen mit

// Load xoopsUserId from cookie if "Remember me" is enabled.
if (empty($_SESSION['xoopsUserId']) && !empty($xoopsConfig['usercookie']) && !empty($_COOKIE[$xoopsConfig['usercookie']])) {
   
$sess_data explode("-",$_COOKIE[$xoopsConfig['usercookie']]);
   if (
count($sess_data)==2$_SESSION['xoopsUserId'] = $sess_data[0];
}


weiter gleiche Datei (Zeile 273): aus

} else {
        
$GLOBALS["sess_handler"]->update_cookie();
        if (isset(
$_SESSION['xoopsUserGroups'])) {
            
$xoopsUser->setGroups($_SESSION['xoopsUserGroups']);
        } else {
            
$_SESSION['xoopsUserGroups'] = $xoopsUser->getGroups();
        }
        
$xoopsUserIsAdmin $xoopsUser->isAdmin();
    }


ein :

} else {
      if (!empty(
$sess_data) && (md5($xoopsUser->getVar('pass').XOOPS_DB_PASS.XOOPS_DB_PREFIX) != $sess_data[1])) {
     
$xoopsUser '';
          
$_SESSION = array();
          
session_destroy();
    } else {
          
$GLOBALS["sess_handler"]->update_cookie();
          if (isset(
$_SESSION['xoopsUserGroups'])) {
            
$xoopsUser->setGroups($_SESSION['xoopsUserGroups']);
          } else {
            
$_SESSION['xoopsUserGroups'] = $xoopsUser->getGroups();
          }
          
$xoopsUserIsAdmin $xoopsUser->isAdmin();
    }
    }


Damit ist dann das XOOPS wieder sicher.
Wir informieren weiter dazu.
Wer Hilfe dazu benötigt, bitte melden.

Muki

Co-Administrator
Gepostet am:26.11.2008 01:39
Muki
Muki Offline (Show more)
Co-Administrator
Posts: 1903
Since: 18.04.2006
#2

Re: Bugfix für Sicherheitslücke Identitätswechsel

Hallo Ihrs,

dass man das nicht alles handisch selbst machen muss, hier im Anhang die zwei veränderten Dateien.

Bitte alte Dateien:
/include/checklogin.php und
/include/common.php

vor Hochladen umbenennen.

Muki

Datei anhängen:


Link nur für registrierte Benutzer
Es gibt keine dummen Fragen, nur dumme Antworten (Ausnahmen bestätigen die Regel).

Advertisement

Gepostet am:0
Advertisement (Show more)
Posts: 0
Since: 0


Hier könnten Sie Ihre Anzeige aufgeben!
Bitte kontaktieren Sie uns, um mehr darüber zu erfahren.

chris47803

"myXOOPs"-Könner
Gepostet am:26.11.2008 06:38
chris47803
chris47803 Offline (Show more)
"myXOOPs"-Könner
Posts: 283
Since: 10.10.2006
#3

Re: Bugfix für Sicherheitslücke Identitätswechsel

Und für welche Version gilt das?

Gruß, Chris

surfman

Ehrenmitglied
Gepostet am:26.11.2008 07:53
surfman
surfman Offline (Show more)
Ehrenmitglied
Posts: 1325
Since: 07.01.2005
#4

Re: Bugfix für Sicherheitslücke Identitätswechsel - XOOPS 2.3.1

Für XOOPS 2.3.1

saba

"myXOOPs"-Fortgeschrittener
Gepostet am:26.11.2008 14:27
saba
saba Offline (Show more)
"myXOOPs"-Fortgeschrittener
Posts: 118
Since: 04.06.2006
#5

Re: Bugfix für Sicherheitslücke Identitätswechsel - XOOPS 2.3.1

Danke sehr, das hat mir gerade viel geholfen, echt, endlich hier kriegt man hilfe ohne panik : respekt :

gibaphp

"myXOOPs"-Neuling
Gepostet am:26.11.2008 15:27
gibaphp
gibaphp Offline (Show more)
"myXOOPs"-Neuling
Posts: 13
Since: 12.07.2003
#6

Re: Bugfix für Sicherheitslücke Identitätswechsel

Zitat:

Muki schrieb:
Hallo Ihrs,

dass man das nicht alles handisch selbst machen muss, hier im Anhang die zwei veränderten Dateien.

Bitte alte Dateien:
/include/checklogin.php und
/include/common.php

vor Hochladen umbenennen.

Muki


thanks for patch files.

wuddel

"myXOOPs"-Profi
Gepostet am:26.11.2008 18:11
wuddel
wuddel Offline (Show more)
"myXOOPs"-Profi
Posts: 954
Since: 05.01.2005
#7

Re: Bugfix für Sicherheitslücke Identitätswechsel - XOOPS 2.3.1

Das ging mal wieder super schnell! Danke
mfg wuddel (38)

Wuddel's Lieblingsspruch: Lohnkürzung, was für ein Schei**

alfred

Administrator
Gepostet am:26.11.2008 22:49
alfred
alfred Offline (Show more)
Administrator
Posts: 7618
Since: 06.12.2004
#8

Re: Bugfix für Sicherheitslücke Identitätswechsel - XOOPS 2.3.1

So die Lücke ist durch XOOPS 2.3.2a ofiziell geschlossen,
daher braucht dieser Patch dann nach dem Update nicht mehr
angewendet werden!
Diesen Thread durchsuchen:  1 Anonyme Benutzer

Aktuell aus dem Forum

Forum Thema Antworten Views Letzter Beitrag
OffOffTopic [Wichtig] Übernahme myXOOPS 0 491 11.12.2023 18:57
alfred Gehe zum letzten Beitrag
Die Installation und Administration von XOOPS 2.5.X [Offen] Upgrade 2.5.11 3 2202 07.05.2023 07:03
Goffy Gehe zum letzten Beitrag