[Sicherheitshinweis] RtR - Nickpage

[Gast]

Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername und Passwort

[RiotheRat]

Auf technische Details werde ich an dieser Stelle nicht eingehen - Trittbrettfahrer und Scriptkiddies gibt es genügend im Netz. Es ist eine betrübliche Tatsache dass bei geschickter Ausnutzung einer Lücke in meinem Modul, hier im Bildupload, schadhafter Code (getarnt als Image) in das System eingeschleust werden kann!

Diese Lücke wurde jetzt soweit geschlossen - eine nochmalige Steigerung der Modulsicherheit wird im nächsten Update-Rollover erfolgen, dann werden aber serverseitig die

exif extension
oder
GD library

erforderlich sein. Die GD library muss dann wenigstens "GIF Read Support" unterstützen.

Ich bitte alle User welche die Nickpage einsetzen aus Sicherheitsgründen hier die aktuelle Version der Nickpage herunter zu laden! Betroffen von dieser Lücke sind alle Versionen (= 5.5 - 7.x).

Die Version für Nuke 5.5 - 6.0 wurde bereits gefixt, diese könnt Ihr am Header der "index.php" erkennen. Diese Datei hat die Versionsnummer "Ver.: 1.1 SR1". Der Code ist nicht verschlüsselt oder komprimiert.

Der Download für die Versionen 6.5 - 7.x wurde ebenfalls gefixt und kann hier herunter geladen werden. Diese Datei hat in der "index.php" als Unterscheindungsmerkmal den Zusatz "(SR1)" im Dateiheader.

Für die Unannehmlichkeiten die Euch durch diese Vorsichtsmassnahme entstehen bitte ich um Euer Verständnis.

[jubilee]

Hallo !

Für die Unannehmlichkeiten die Euch durch diese Vorsichtsmassnahme entstehen bitte ich um Euer Verständnis.

Unsinn ! Es ist auf jedenfall besser, das das Modul sicher ist als das es einige kleine Unannehmlichkeiten gibt.
Danke das Du uns hier auf dem laufenden hälst.
MfG
jubilee

[DarkBoy]

Gebe ich meinem Kollegen recht!
Was mal ein LOB an Dich dann ist das du es auch überall bekannt gibst usw.
Das ist nicht selbstverständlich und sowas BELOBE ich immer und dafür gibts einen
<<<<PLONK>>>>

[jubilee]

und dafür gibts einen
<<<<PLONK>>>>

genau. Schließe ich mich an !

[RiotheRat]

Es sollte eine Selbstverständlichkeit sein die Nutzer zu informieren. Genauso wie es eine Selbstverständlichkeit sein sollte sichere Scripte zu entwickeln. Irgendwo rutscht immer was durch, dessen bin ich mir auch bewusst.

Von einer Verheimlichung von Löchern hat niemand was - die Leute vertrauen den Entwicklern und daher auch die offene Informationspolitik. Ich will nicht schuld sein wenn eine Webpräsenz wegfliegt ...

RtR

[_Gerry_]

Es sollte eine Selbstverständlichkeit sein die Nutzer zu informieren. Genauso wie es eine Selbstverständlichkeit sein sollte sichere Scripte zu entwickeln. Irgendwo rutscht immer was durch, dessen bin ich mir auch bewusst.

Von einer Verheimlichung von Löchern hat niemand was - die Leute vertrauen den Entwicklern und daher auch die offene Informationspolitik. Ich will nicht schuld sein wenn eine Webpräsenz wegfliegt ...

RtR

Sicher kleine Fehler können immer mal passieren! 
Leider gibt es ja auch solche bei denen es nicht passiert, sondern absichtlich gemacht wird!

Aber da du ja einer von denjenigen bist die genauso auf Sicherheit aus sind und dies auch den anderen zugute kommen lässt,
gibt es auch von mir nen
<<<<PLONK>>>>

l.g.
Gerry

[fjuergens]

Wollte mir das Update oder bzw. die Version von der angebenen Seite downloaden.

Dazu muss ich aber erst ein ganze VK Packet kaufen.

Das finde ich toll.....


Gibts keinen Link für die Überarbeitete Version OHNE eine ganze VK kaufen zu müssen

[fjuergens]

Auf technische Details werde ich an dieser Stelle nicht eingehen - Trittbrettfahrer und Scriptkiddies gibt es genügend im Netz. Es ist eine betrübliche Tatsache dass bei geschickter Ausnutzung einer Lücke in meinem Modul, hier im Bildupload, schadhafter Code (getarnt als Image) in das System eingeschleust werden kann!

Diese Lücke wurde jetzt soweit geschlossen - eine nochmalige Steigerung der Modulsicherheit wird im nächsten Update-Rollover erfolgen, dann werden aber serverseitig die

exif extension
oder
GD library

erforderlich sein. Die GD library muss dann wenigstens "GIF Read Support" unterstützen.

Ich bitte alle User welche die Nickpage einsetzen aus Sicherheitsgründen hier die aktuelle Version der Nickpage herunter zu laden! Betroffen von dieser Lücke sind alle Versionen (= 5.5 - 7.x).

Die Version für Nuke 5.5 - 6.0 wurde bereits gefixt, diese könnt Ihr am Header der "index.php" erkennen. Diese Datei hat die Versionsnummer "Ver.: 1.1 SR1". Der Code ist nicht verschlüsselt oder komprimiert.

Der Download für die Versionen 6.5 - 7.x wurde ebenfalls gefixt und kann hier herunter geladen werden. Diese Datei hat in der "index.php" als Unterscheindungsmerkmal den Zusatz "(SR1)" im Dateiheader.

Für die Unannehmlichkeiten die Euch durch diese Vorsichtsmassnahme entstehen bitte ich um Euer Verständnis.

Alles Prima alles Toll...
aber die Seite ist leer... ales schon per Download abgezogen..
und nun ?

[RiotheRat]

Hmmm ... hattest Du glaube ich hier -->> http://board.pragmamx.de/index.php?topic=11098.msg81495#msg81495 schon gefragt 

Liky hat die Downloads umgestellt, steht auch dick und fett auf der Startseite ... und Deine Frage habe ich in dem verlinkten Thread und hier hoffentlich beantwortet 

RtR