Veiligheids-fix in phpBB.
Geplaatst: 09 dec 2003, 20:08
Er is een klein beveiligingsprobleem in search.php. Het is namelijk onder zeer specifieke omstandigheden mogelijk om wachtwoorden te achterhalen.
Hoewel de kans hierop zeer klein is wordt het aangeraden, voor alle gebruikers van phpBB 2.0.x onderstaande kleine update uit te voeren.
Alle nieuw te downloaden versies van phpBB zijn al voorzien van deze update. Hiermee zijn alle nieuwe installaties en upgrades beveiligd.
Om deze update uit te voeren op het bestand search.php in een teksteditor en zoek naar het onderstaande (ongeveer regel 685):
en vervang dit met:
Sla het bestand op en upload het vervolgens naar je webruimte waarbij je het aanwezige bestand overschrijft.
Originele bericht op phpBB.com:
http://www.phpbb.com/phpBB/viewtopic.php?t=153818
Hoewel de kans hierop zeer klein is wordt het aangeraden, voor alle gebruikers van phpBB 2.0.x onderstaande kleine update uit te voeren.
Alle nieuw te downloaden versies van phpBB zijn al voorzien van deze update. Hiermee zijn alle nieuwe installaties en upgrades beveiligd.
Om deze update uit te voeren op het bestand search.php in een teksteditor en zoek naar het onderstaande (ongeveer regel 685):
Code: Selecteer alles
if ( intval($search_id) )
{
$sql = "SELECT search_array
FROM " . SEARCH_TABLE . "
WHERE search_id = $search_id
AND session_id = '". $userdata['session_id'] . "'";
Code: Selecteer alles
$search_id = intval($search_id);
if ( $search_id )
{
$sql = "SELECT search_array
FROM " . SEARCH_TABLE . "
WHERE search_id = $search_id
AND session_id = '". $userdata['session_id'] . "'";
Originele bericht op phpBB.com:
http://www.phpbb.com/phpBB/viewtopic.php?t=153818