News - Features - Downloads - Forum - Team - Support - Switch View: Screen
Login - Registrierung - Passwort vergessen
News - Details
Informationen zur ausgewählten Nachricht.

!! Sicherheitshinweis !!
18.09.2009 um 08:36 Uhr - Fr33z3m4n ClanSphere Team
Kommentare (75)
Hinweis an ALLE Benutzer von CSP.

Ja leider betrifft die Lücke, welche die Nacht auf CSP ausgenutzt wurde, auch jeden von euch.
Aber sie ist sehr schnell geschlossen.

Bearbeitet bitte alle die accsss.php im Ordner "/mods/articles".
Diese hat die beiden Einstellungen
 
1.
2.
3.
1. / 2. / ... 
 $axx_file['com_create']  = 1;
$axx_file['com_edit']  = 1;


bitte ändert die 1 bei beiden auf 3. Somit verhindert Ihr, dass Besucher Kommentare verfassen können.

Zu den Umständen, wieso es diese Lücke gibt, werde ich mich jetzt nicht äußern, weil es sonst sein könnte, dass ich mich ein wenig im Ton vergreife gegen über Ex-Membern von CSP.

Ein Fix, wird es demnächst noch offiziell geben.

Mit freundlichen Grüßen
Fr33z3m4n

Kommentare: 75
Seite < 1 [2] 3 4 >
mId3

--

Ort: -
Beiträge: 156
# 21 - 18.09.2009 um 11:23 Uhr

so sieht es bei mir aus :

<?php
// ClanSphere 2009 - www.clansphere.net
// $Id: access.php 3009 2009-05-03 14:57:11Z hajo $

$axx_file['view'] = 2;
$axx_file['manage'] = 3;
$axx_file['create'] = 3;
$axx_file['edit'] = 4;
$axx_file['remove'] = 5;
----x

28.11.2015

Ort: -
Beiträge: 332
# 22 - 18.09.2009 um 11:31 Uhr

Jungs... einfach mal lesen -_-
UnKn0wn ClanSphere Team

02.05.2023

Ort: -
Beiträge: 1215
# 23 - 18.09.2009 um 11:52 Uhr

da kommt noch mehr in der datei guckt bitte weiter unten.
Mindcrime

13.04.2024

Ort: -
Beiträge: 1211
# 24 - 18.09.2009 um 13:40 Uhr

Eh, hab ich das nur oder ist das nicht ein algemeines commentar problem wie auch in andere module? Weil der code von com_create und com_edit nicht anders ist wie andere module wie zb news...
hoernertee

29.08.2015

Ort: -
Beiträge: 116
# 25 - 18.09.2009 um 14:27 Uhr

Stimme Mindcrime zu.
Muss man das jetzt in jedem Mod ändern für die com_create und com_edit?
Bitte um Antwort.

Danke
FranzAUT

19.02.2015

Ort: -
Beiträge: 471
# 26 - 18.09.2009 um 16:19 Uhr

Nein nur in der "/mods/articles/accsss.php"
Und achtet darauf....

RICHTIG
$axx_file['com_create'] = 3;
$axx_file['com_edit'] = 3;



FALSCH hier nichts ändern. (Sind andere einträge nicht für die Kommentare zuständig)
$axx_file['create'] = 3;
$axx_file['edit'] = 4;



Zuletzt editiert von FranzAUT, am 18.09.2009 um 16:20 Uhr (1x Editiert)
RaPiD

--

Ort: -
Beiträge: 1214
# 27 - 18.09.2009 um 16:25 Uhr

Hallo Freezeman,

wird den ein älteres backup der SQL nochmal drauf gespielt? Weil es sind alle Theards mit Hacked by god, die so zu lassen bringt doch nichts mehr da alle comments weg sind und alle lössungen und etc.
Es wäre sinvoller wieder ein backup drauf zu spielen danke freezeman.
----x

28.11.2015

Ort: -
Beiträge: 332
# 28 - 18.09.2009 um 19:34 Uhr

Omg bitte... nicht sofort rumflamen sondern einfach lesen -_-
Gringo00

18.09.2009

Ort: -
Beiträge: 20
# 29 - 18.09.2009 um 19:47 Uhr

Wär mal gut zu wissen, welche potentiellen Gefahren ich durch diese Maßnahme abwehre.

Werde das kommende Wochenende wohl dazu nutzen, die CSP am FTP auszudünnen und nur mehr das drauf laufen zu lassen, was auch in Verwendung ist.

Es ist wirklich traurig, daß man sich so ein non-profit Projekt für das Ausleben seines Geltungsdrangs aussucht.
z0ra^

16.03.2010

Ort: -
Beiträge: 19
# 30 - 19.09.2009 um 14:28 Uhr

Danke für den Hinweis, wurde umgehend erledigt
duRiel ClanSphere Team

25.10.2015

Ort: Cambridge
Beiträge: 7806
# 31 - 20.09.2009 um 22:07 Uhr

man konnte kommentare bearbeiten und verfassen damit.
Mindcrime

13.04.2024

Ort: -
Beiträge: 1211
# 32 - 20.09.2009 um 23:31 Uhr

20.09.2009 um 22:07 Uhr - duRiel:
man konnte kommentare bearbeiten und verfassen damit.


Und was ist der unterschied zwisschen andere module wo man das auch machen kann? Weil der anruf von die comments mod ist diesselbe, und der code auch, nur ein anderes modul name...
Fr33z3m4n ClanSphere Team

16.03.2022

Ort: Hamm
Beiträge: 11700
# 33 - 21.09.2009 um 09:04 Uhr

Die Rechte sind das Problem.
Besucher dürfen keine Kommentare bearbeiten.
In den jeweiligen Modulen ggf. erstellen, aber editieren ist wie man merkte tötlich.
Thore

30.08.2010

Ort: -
Beiträge: 81
# 34 - 21.09.2009 um 17:07 Uhr

öhm da ist man übers we net da und dann sieht man wieder sowas das ihr gehackt worden seit is csp langsam überhaupt noch sicher ? ich werde glaube nach und nach die seiten die ich auf csp gehostet habe down nehmen wenn das so weiter geht..
nenTi

03.08.2011

Ort: Paderborn
Beiträge: 129
# 35 - 22.09.2009 um 17:32 Uhr

Bei so einem großen Projekt kommt es leider gelegendlich auch
zu unachtsamkeiten seitens der coder. Normalerweise bieten wir
durch das "4 Augen Prinzip" und die sehr gut ausgearbeiteten
core Funktionen ein maximales Maß an Sicherheit an.

Leider hat sich in diesem Fall ein Sicherheitslücke eingeschlichen,
das ist unschön aber dank des schnellen securityfix verkraftbar.

Das CSP Team ist sich sehr wohl der Wichtigkeit von Systemsicherheit
bewusst und diese wird auch auf regelmäßigen Treffen thematisiert.

Wenn du stets die aktuelle CSP Version nutzt bist du auf der Sicheren
Seite
berti29

21.06.2011

Ort: -
Beiträge: 3
# 36 - 22.09.2009 um 22:34 Uhr

Vielen Dank für den Hinweis!!
Super Service!

mfg
Thore

30.08.2010

Ort: -
Beiträge: 81
# 37 - 22.09.2009 um 23:50 Uhr

ah csp sooo sicher deswegen auch die page net aktuell gewesen usw. so viel dazu zur sicherheit wa ... bevor man was rausbring sollte man es auf sicherheits lücken testen
alexteam

18.12.2020

Ort: -
Beiträge: 194
# 38 - 23.09.2009 um 03:17 Uhr

Einige Verstehe ich wirklich nicht, CSP ist ein echt super CMS und ich arbeite gern damit. Es ist verständlich das sich Fehler einschleichen und das auch ärgerlich ist.
Ist aber der erste Fehler so lange ich dabei bin und das sagt doch schon alles.
Hier arbeiten eben auch nur Menschen die auch ab und an einen Fehler machen.

Die Coder haben doch alles getan die Lücke zu finden und zu schließen.
Und so ein kleiner Fix tut keinem weh!

DANKE AN DAS CSP TEAM UND MACHT WEITER SO!!


Zuletzt editiert von alexteam, am 23.09.2009 um 03:18 Uhr (1x Editiert)
Fr33z3m4n ClanSphere Team

16.03.2022

Ort: Hamm
Beiträge: 11700
# 39 - 23.09.2009 um 07:44 Uhr

ah csp sooo sicher deswegen auch die page net aktuell gewesen usw. so viel dazu zur sicherheit wa ... bevor man was rausbring sollte man es auf sicherheits lücken testen

Zwingt dich irgendjemand CSP zu nutzen ?
Nein

Hält dich jemand ab, etwas anderes zu nutzen ?
Nein

Sind wir Menschen?
Ja

Wir brauchen hier nicht über Sicherheit rund um CSP diskutieren.
Noch Fragen ?


Zuletzt editiert von Fr33z3m4n ClanSphere Team, am 23.09.2009 um 07:44 Uhr (1x Editiert)
Mindcrime

13.04.2024

Ort: -
Beiträge: 1211
# 40 - 23.09.2009 um 11:08 Uhr

22.09.2009 um 23:50 Uhr - damaskus:
ah csp sooo sicher deswegen auch die page net aktuell gewesen usw. so viel dazu zur sicherheit wa ... bevor man was rausbring sollte man es auf sicherheits lücken testen


Ich kann da nur eins gegen sagen: Vergleich mal die derzeitige ClanSphere version (von coding, aufbau und sicherheit) mit andere Clan CMS systeme oder CMS portals.

Ich habe mit genuegend von diese andere gearbeitet, neue module entwikkelt, gecoded oder mir angesehen. Wenn du denkst das ClanSphere unsicher ist, dan kennst du die andere CMS systeme gar nicht. Was da alles fuer grobe luecken und schlechten code drin ist, da ist ClanSphere schon 100 mal besser, obwohl auch nicht ideal...

Kein einziges system ist 100% sicher... Und was hat aktuell sein der ClanSphere page zu tun mit die sicherheit des derzeitigen code? Das die keine prioritaet hatten das zu updaten hat damit zu tun das sie arbeiten am neuen code...
Seite < 1 [2] 3 4 >

Bitte Login benutzen, um Kommentare zu schreiben.


ClanSphere Project - Mailus - Imprint - Disclaimer - Scriptinfo