Hallo,

ich habe nach langem hin und her Suchen einen netten PHP Foto Album
gefunden, PPA.
Dieses Fotoalbum baut auf PHPhotoalbum
http://www.stoverud.com/PHPhotoalbum auf und hat ein paar Verbesserungen,
leider auch eine Sicherheitslücke:
http://securitytracker.com/alerts/2005/Jul/1014436.html

Leider hat da Niemand sich der Sache da angenommen, nun wollte ich mal
hier ganz Lieb fragen ob jemand vielleicht in der Lage währ dieses
Sicherheitsloch zu Stopfen.

Also weiß jemand vielleicht wie man Sicherstellen kann, daß die Werte die
sich functions.inc.php holt, nur vom Server auf dem es sich befindet,
angenommen werden und nicht von Extern?

Danke

Jürgen

Am 23.08.2007, 08:36 Uhr, schrieb "Jürgen Köhler" <mopy [at] gmx.li>:

> ich habe nach langem hin und her Suchen einen netten PHP Foto Album
> gefunden, PPA.
> Dieses Fotoalbum baut auf PHPhotoalbum
> http://www.stoverud.com/PHPhotoalbum auf und hat ein paar
> Verbesserungen, leider auch eine Sicherheitslücke:
> http://securitytracker.com/alerts/2005/Jul/1014436.html

Da wäre es schon sinnvoll, wenn du die URL von PPA reinschreiben würdest...

Ansonsten: Fotoalbum ohne Sicherheitslücke suchen.

Gruß
Chris

"Jürgen Köhler" wrote:
> Hallo,
>
> ich habe nach langem hin und her Suchen einen netten PHP Foto Album
> gefunden, PPA.
> Dieses Fotoalbum baut auf PHPhotoalbum
> http://www.stoverud.com/PHPhotoalbum auf und hat ein paar
> Verbesserungen, leider auch eine Sicherheitslücke:
> http://securitytracker.com/alerts/2005/Jul/1014436.html
>
> Leider hat da Niemand sich der Sache da angenommen, nun wollte ich mal
> hier ganz Lieb fragen ob jemand vielleicht in der Lage währ dieses
> Sicherheitsloch zu Stopfen.
>
> Also weiß jemand vielleicht wie man Sicherstellen kann, daß die Werte
> die sich functions.inc.php holt, nur vom Server auf dem es sich
> befindet, angenommen werden und nicht von Extern?

Ich hab mir das Script angesehen und die Version 0.5 scheint mir ehrlich
gesagt nicht anfällig bezüglich des genannten Security Hinweises zu sein.
Zumal weder ein Ordner inc/ existiert noch eine inc/functions.inc.php.

allerdings existiert im Ordner functions.php, in der steht jedoch:
require("config.inc.php");

....und das sollte das im Security Hinweis geschilderte Verhalten definitiv
verhindern.

Grüße
Johannes

--
Emails ohne "[nospam]" im Betreff werden kommentarlos gelöscht.

Chris Kraft schrieb:

> Am 23.08.2007, 08:36 Uhr, schrieb "Jürgen Köhler" <mopy [at] gmx.li>:

> Da wäre es schon sinnvoll, wenn du die URL von PPA reinschreiben würdest...

Auf der HP vom PPA ist nichts mehr zu finden, weil ein paar Scriptkiddies
den verärgert haben...

> Ansonsten: Fotoalbum ohne Sicherheitslücke suchen.

Es gibt Tausende von Fotoalben, aber dieses erfüllt all meine Wünsche...

Jürgen Köhler schrieb:
> Chris Kraft schrieb:
>
>> Am 23.08.2007, 08:36 Uhr, schrieb "Jürgen Köhler" <mopy [at] gmx.li>:
>
>> Da wäre es schon sinnvoll, wenn du die URL von PPA reinschreiben
>> würdest...
>
> Auf der HP vom PPA ist nichts mehr zu finden, weil ein paar
> Scriptkiddies den verärgert haben...

Selbstmitleid nach selbst provozierten Attacken auf fehlerhaften Code
zeugt natürlich von großem Verantwortungsbewusstsein gegenüber den
eigenen Usern.

Das klingt irgendwie so, als ob der Programmierer selbst noch ein
Scriptkiddie wäre. Darauf willst du dich verlassen?


Gruß,
Habbo

"Jürgen Köhler" schrieb:
> Hallo,
>
> ich habe nach langem hin und her Suchen einen netten PHP Foto Album
> gefunden, PPA.
> Dieses Fotoalbum baut auf PHPhotoalbum
> http://www.stoverud.com/PHPhotoalbum auf und hat ein paar Verbesserungen,
> leider auch eine Sicherheitslücke:
> http://securitytracker.com/alerts/2005/Jul/1014436.html

Sofern register_globals auf Off steht, besteht keine Gefahr. Wenn Du
register_globals auf Off stellst, und das Programm funktioniert nicht mehr,
dann schmeiße es weg. Wenn Du trotzdem das Programm gebrauchen willst und
nur diesen einen Bug beseitigen willst, dann

füge in der config.inc.php vor die Zeile
// Galleryname bzw. als erstes hinter <?
folgende Zeile ein:

unset [$config];

Und dasselbe fügst Du in der functions.php direkt vor die Zeile

require("config.inc.php");

ein - ich habe nämlich nur beim groben Durchsehen noch weitere
Injections-Schwachstellen in PHPhotoalbum gefunden.

viele grüße
ralph

Ralph 'rkhb' Bauer schrieb:
> unset [$config];

Korrektur:
unset ($config);