Allgemeines > Laberkanal

[NEWS]: Vwar bis auf weiteres geschlossen

<< < (3/3)

Kelli:
VWar 1.5.0 R15 (Vor R15 gab es noch etliche andere Lücken)

1.6 ? Ist das die Version die zwischenzeitlich mal von einem anderen gepflegt wurde? vwar.de hatte doch mal für eine Zeitlang aufgegeben und die weiterentwicklung so einer anderen Truppe überlassen. Das Ding war *imho* noch schlimmer als alle anderen Vwar Versionen davor.
http://www.juniper.net/security/auto/vulnerabilities/vuln29001.html

Ich hab mir das mal kurz angesehen wo es 1.6 RC1 war oder so ... und bin dann lieber bei 1.5 geblieben.
Im Prinzip folgendes Problem bei 1.5
Die url ist z.B.
http://www.example.com/vwar/war.php?s=30&page=3
Jetzt kann ein Angreifer auch einfach in seine Adressleiste
http://www.example.com/vwar/war.php?s=30&page=(böse Sachen)
eintragen. Die 5 Zeilen checken jetzt nur das in diesem Fall bei &page= nur nummern stehen, denn alles was an dieser Stelle keine Nummer ist macht keinen Sinn oder ist böse.

--- Code: ---if(!eregi("^([0-9]{1,3}$)|(all$)",$GPC['page'])) //page kann jetzt 0-999 sein oder das wort "all". Alles andere wird geblockt.
{echo"Bitte geh weg"; exit();}

--- Ende Code ---
Und das halt für jeden Parameter der möglich ist, wie gamename, order etc..
Wenn vwar 1.6 genau dieselben parameter benutzt, und auch vwar 1.6 nicht von sich aus prüft ob z.B. seite nur Ziffern sind, dann: ja hilft es auch bei 1.6 und ist sogar sehr empfehlenswert.
more:
http://www.securiteam.com/securityreviews/5DP0N1P76E.html
http://www.heise.de/security/Giftspritze--/artikel/43175

Waltraut:

--- Zitat von: -=I.O.S=-Kellerkind am Dienstag, 01 Juli 2008 | 23:02 ---VWar 1.5.0 R15 (Vor R15 gab es noch etliche andere Lücken)

1.6 ? Ist das die Version die zwischenzeitlich mal von einem anderen gepflegt wurde? vwar.de hatte doch mal für eine Zeitlang aufgegeben und die weiterentwicklung so einer anderen Truppe überlassen. Das Ding war *imho* noch schlimmer als alle anderen Vwar Versionen davor.
http://www.juniper.net/security/auto/vulnerabilities/vuln29001.html

Ich hab mir das mal kurz angesehen wo es 1.6 RC1 war oder so ... und bin dann lieber bei 1.5 geblieben.

--- Ende Zitat ---

puh gut zu wissen!! Und ich dachte eine neuere Version wäre automatisch auch sicherer, weil sie die "alten" Lücken fixt... offensichtlich falsch gedacht  :oops: Hätte ich dich doch direkt gefragt... !

vwar.de hat das Projekt wohl wieder zurückgeholt, weils mit den Briten nicht funktioniert hat.

Ist mir sogar lieber bei 1.5 zu bleiben, da die beiden Versionen nicht miteinander kompatibel sind und ich so die alte Datenbank des 1.5ers nicht hätte übernehmen können. Und wir waren halt recht fleißig was das Wars eintragen betrifft.

DANKE! Damit erleichterst du meine Jungs um einiges an Übertragungsarbeit :D
Werde deine Fixes mal einarbeiten und hoffen, dass es so dann noch eine Weile hält.

Navigation

[0] Themen-Index

[*] Vorherige Sete