[NEWS]: Vwar bis auf weiteres geschlossen

[Kelli]

[Article]: Vwar bis auf weiteres geschlossen
Unser Vwar ist aus Sicherheitsgründen bis auf weiteres gesperrt - und jedem anderen Benutzer von Vwar kann ich nur dasselbe empfehlen.
Wer uns herausfordern oder beitreten m&ouml;chte nutzt inzwischen bitte das Board&nbsp; (Keine Registrierung notwendig), oder schreibt eine E-Mail mit aussagef&auml;higen Betreff an info <bei> Internationaloldstars.de

Sorry --


Weiterf&uuml;hrende Links:
http://www.securityfocus.com/bid/27772
http://seclists.org/bugtraq/2008/Feb/0180.html

[DasOpfer]

Kelli, was ist denn passiert
Ich werd nämlich aus deinen Links net schlau 

[Kelli]

Kelli, was ist denn passiert

Noch nichts. Es ist abgeschaltet damit das auch so bleibt.

Ich werd nämlich aus deinen Links net schlau 

Es komplett zu erklären fehlt mir jetzt die Zeit, aber es gibt in der Vwar eine Möglichkeit z.B. auch ohne Passwort Abfragen an die Datenbank zu stellen. Ob auch schreiben möglich ist hab ich jetzt nicht ausprobiert, jedenfalls schalt ich es lieber ab als das ich ungebetene Gäste riskiere. Da Vwar offiziell nicht mehr unterstützt wird und der Nachfolger eine einzige Baustelle ist muss ich mal bei Gelegenheit sehen welches Risiko einer Kompromittierung tatsächlich besteht und was für Alternativen es gibt.
Vielleicht wirst du hieraus schlauer: http://de.wikipedia.org/wiki/SQL_Injection

Edit, Nachtrag: Der Wikipedia Artikel enthällt Fehler und Teilweise totalen Unfug "Die nun generierte Abfrage ermöglicht so das Formatieren der Festplatte. Aber auch Downloads oder Ähnliches lassen sich dadurch erzeugen (am Beispiel Microsoft SQL Server).", aber das Prinzip ist zumindest erkennbar...

[DasOpfer]

Danke Kelli, da wurde ich jetzt etwas schlauer.
Also ist besser wenn du es abgeschalten hast.
Und du fummelst dich da bestimmt durch, und dannw irds ja wieder laufen   

[Sandfurz]

Ok, dazu hab ich gleich was. Da kam irgend ein Join Us noch gestern glaub ich rein.Er hiess Jack .....   Währe froh wenn das einer der ihn kennt und mit ihm zockt geich mal klärt dann.

[Kelli]

Kann wieder geVauWart werden. Falls es jemand interessiert:

Code: [Auswählen]

vwar.php

// Kellerkind: Add checks  to prevent sql-injections
if($GPC['s'] == "")
{$GPC['s'] = "1";}
if($GPC['page'] == "")
{$GPC['page'] = "1";}
if($GPC['showgame'] == "")
{$GPC['showgame'] = "0";}
if($GPC['sortby'] == "")
{$GPC['sortby'] = "dateline";}
if($GPC['order'] == "")
{$GPC['order'] = "desc";}


if(!eregi("^[0-9]{1,3}$",$GPC['s']))
{echo"Bitte geh weg"; exit();}

if(!eregi("^([0-9]{1,3}$)|(all$)",$GPC['page']))
{echo"Bitte geh weg"; exit();}

if(!eregi("^[0-9]{1,2}$",$GPC['showgame']))
{echo"Bitte geh weg"; exit();}                     


if(!eregi("^(gamename$)|(dateline$)|(oppname$)|(matchtypename$)|(gametypename$)",$GPC['sortby']))
{echo"Bitte geh weg"; exit();}

if(!eregi("^(asc$)|(desc$)",$GPC['order']))
{echo"Bitte geh weg"; exit();}                           
Ja, nicht sonderlich elegant, ich weiß...

[DasOpfer]

Wer hats gerichtet ?

Kelli , hats gerichtet !!!! 

Saubere Arbeit Kelli   

[Waltraut]

Aus gegebenem Anlass würde ich das Ganze gern übernehmen.
Frage dazu: In welche Datei muss der Code rein?

[Kelli]

Ich find Vwar extrem schlecht programmiert. Aber es gibt einfach keine sinnvolle Alternative für E-Sport.
Du solltest auf jedenfall den Ordner extras löschen. Den Ordner install. Und möglichst global in der php.ini (oder aber in einer .htacces wenigstens für vwar) register globals und das einbinden von urls ausschalten.
register_globals = Off
allow_url_fopen = Off

In der war.php kommen dann die Zeilen vor der Zeile

// ################################### display wars  ###########################
if ($GPC['action'] == "" || !isset($GPC['action']) || $GPC['action'] == "wars")

Ich bin mir aber nicht sicher ob das wirklich alle Löcher stopft - das sind nur die welche in http://www.securityfocus.com/bid/27772 verbreitet wurden.

[Waltraut]

Ja, hab bislang auch noch nichts gefunden, was da ranreicht... ich finds halt einfach sehr komfortabel in der Bedienung und optisch kann mans auch prima anpassen.

Da muss man wohl Mut zur Lücke haben, wobei viele Probleme ja auch hausgemacht sind (wenn man keine Ahnung hat, so wie ich...  ).

Vielen Dank für deine Hinweise! Kann man den Code für 1.5 und 1.6 verwenden?

[Kelli]

VWar 1.5.0 R15 (Vor R15 gab es noch etliche andere Lücken)

1.6 ? Ist das die Version die zwischenzeitlich mal von einem anderen gepflegt wurde? vwar.de hatte doch mal für eine Zeitlang aufgegeben und die weiterentwicklung so einer anderen Truppe überlassen. Das Ding war *imho* noch schlimmer als alle anderen Vwar Versionen davor.
http://www.juniper.net/security/auto/vulnerabilities/vuln29001.html

Ich hab mir das mal kurz angesehen wo es 1.6 RC1 war oder so ... und bin dann lieber bei 1.5 geblieben.
Im Prinzip folgendes Problem bei 1.5
Die url ist z.B.
http://www.example.com/vwar/war.php?s=30&page=3
Jetzt kann ein Angreifer auch einfach in seine Adressleiste
http://www.example.com/vwar/war.php?s=30&page=(böse Sachen)
eintragen. Die 5 Zeilen checken jetzt nur das in diesem Fall bei &page= nur nummern stehen, denn alles was an dieser Stelle keine Nummer ist macht keinen Sinn oder ist böse.

Code: [Auswählen]

if(!eregi("^([0-9]{1,3}$)|(all$)",$GPC['page'])) //page kann jetzt 0-999 sein oder das wort "all". Alles andere wird geblockt.
{echo"Bitte geh weg"; exit();}
Und das halt für jeden Parameter der möglich ist, wie gamename, order etc..
Wenn vwar 1.6 genau dieselben parameter benutzt, und auch vwar 1.6 nicht von sich aus prüft ob z.B. seite nur Ziffern sind, dann: ja hilft es auch bei 1.6 und ist sogar sehr empfehlenswert.
more:
http://www.securiteam.com/securityreviews/5DP0N1P76E.html
http://www.heise.de/security/Giftspritze--/artikel/43175

[Waltraut]

VWar 1.5.0 R15 (Vor R15 gab es noch etliche andere Lücken)

1.6 ? Ist das die Version die zwischenzeitlich mal von einem anderen gepflegt wurde? vwar.de hatte doch mal für eine Zeitlang aufgegeben und die weiterentwicklung so einer anderen Truppe überlassen. Das Ding war *imho* noch schlimmer als alle anderen Vwar Versionen davor.
http://www.juniper.net/security/auto/vulnerabilities/vuln29001.html

Ich hab mir das mal kurz angesehen wo es 1.6 RC1 war oder so ... und bin dann lieber bei 1.5 geblieben.

puh gut zu wissen!! Und ich dachte eine neuere Version wäre automatisch auch sicherer, weil sie die "alten" Lücken fixt... offensichtlich falsch gedacht  Hätte ich dich doch direkt gefragt... !

vwar.de hat das Projekt wohl wieder zurückgeholt, weils mit den Briten nicht funktioniert hat.

Ist mir sogar lieber bei 1.5 zu bleiben, da die beiden Versionen nicht miteinander kompatibel sind und ich so die alte Datenbank des 1.5ers nicht hätte übernehmen können. Und wir waren halt recht fleißig was das Wars eintragen betrifft.

DANKE! Damit erleichterst du meine Jungs um einiges an Übertragungsarbeit :D
Werde deine Fixes mal einarbeiten und hoffen, dass es so dann noch eine Weile hält.