MyXoops Forum

Forum - myXOOPS German Support

1 + 1 = ?  
Geben Sie die Zeichenfolge aus dem Bild ein
Sie haben max. 10 Versuche.
 

Bugfix für Sicherheitslücke Identitätswechsel - XOOPS 2.3.1

Betreff: Bugfix für Sicherheitslücke Identitätswechsel - XOOPS 2.3.1
von alfred am 26.11.2008 01:00:53

Anleitung:

ausgehend vom XOOPS_ROOT_PATH (da wo die mainfile.php liegt)

Datei /include/checklogin.php:
Suche nach (ca Zeile 81):

// Set cookie for rememberme
if ( !empty($xoopsConfig['usercookie']) ) {
  if ( !empty(
$_POST["rememberme"]) ) {
    
setcookie($xoopsConfig['usercookie'], $_SESSION['xoopsUserId'], time() + 31536000'/',  ''0);
  } else {
    
setcookie($xoopsConfig['usercookie'], 0, -1'/',  ''0);
  }
}


ersetzen mit

// Set cookie for rememberme
if ( !empty($xoopsConfig['usercookie']) ) {
  if ( !empty(
$_POST["rememberme"]) ) {
    
setcookie($xoopsConfig['usercookie'], $_SESSION['xoopsUserId']."-".md5($user->getVar('pass').XOOPS_DB_PASS.XOOPS_DB_PREFIX), time() + 31536000'/',  ''0);
  } else {
    
setcookie($xoopsConfig['usercookie'], 0, -1'/',  ''0);
  }
}


weiter Datei /include/common.php (Zeile 262), suche nach:

// Load xoopsUserId from cookie if "Remember me" is enabled.
if (empty($_SESSION['xoopsUserId']) && !empty($xoopsConfig['usercookie']) && !empty($_COOKIE[$xoopsConfig['usercookie']])) {
    
$_SESSION['xoopsUserId'] = $_COOKIE[$xoopsConfig['usercookie']];
}


ersetzen mit

// Load xoopsUserId from cookie if "Remember me" is enabled.
if (empty($_SESSION['xoopsUserId']) && !empty($xoopsConfig['usercookie']) && !empty($_COOKIE[$xoopsConfig['usercookie']])) {
   
$sess_data explode("-",$_COOKIE[$xoopsConfig['usercookie']]);
   if (
count($sess_data)==2$_SESSION['xoopsUserId'] = $sess_data[0];
}


weiter gleiche Datei (Zeile 273): aus

} else {
        
$GLOBALS["sess_handler"]->update_cookie();
        if (isset(
$_SESSION['xoopsUserGroups'])) {
            
$xoopsUser->setGroups($_SESSION['xoopsUserGroups']);
        } else {
            
$_SESSION['xoopsUserGroups'] = $xoopsUser->getGroups();
        }
        
$xoopsUserIsAdmin $xoopsUser->isAdmin();
    }


ein :

} else {
      if (!empty(
$sess_data) && (md5($xoopsUser->getVar('pass').XOOPS_DB_PASS.XOOPS_DB_PREFIX) != $sess_data[1])) {
     
$xoopsUser '';
          
$_SESSION = array();
          
session_destroy();
    } else {
          
$GLOBALS["sess_handler"]->update_cookie();
          if (isset(
$_SESSION['xoopsUserGroups'])) {
            
$xoopsUser->setGroups($_SESSION['xoopsUserGroups']);
          } else {
            
$_SESSION['xoopsUserGroups'] = $xoopsUser->getGroups();
          }
          
$xoopsUserIsAdmin $xoopsUser->isAdmin();
    }
    }


Damit ist dann das XOOPS wieder sicher.
Wir informieren weiter dazu.
Wer Hilfe dazu benötigt, bitte melden.

Aktuell aus dem Forum

Forum Thema Antworten Views Letzter Beitrag
sonstige Module wgGallery und wgSitenotice 0 1046 29.12.2021 21:15
Goffy Gehe zum letzten Beitrag
sonstige Module wgTeams und wgTimelines 0 1039 29.12.2021 20:33
Goffy Gehe zum letzten Beitrag
OffOffTopic Frohe Weihnachten und Prosit 2022 0 1118 22.12.2021 11:11
Goffy Gehe zum letzten Beitrag
XOOPS-Themes u. Grafik für XOOPS 2.3 Publisher New Theme 1 1807 30.11.2021 17:27
Goffy Gehe zum letzten Beitrag