2.3.6 -> 2.3.6 pl2

ori-on

Gibt es im WBB 2.3.6 bekannte Sicherheitslücken? Ich habe etwas von einer Lücke in search.php gelesen, die durch die Version "2.3.6 pl2" geschlossen wurde. Wie kann ich erkennen welche Version ich genau habe?

Ist "2.3.6 pl2" die letzte 2.x basierte Versionsnummer? Wo kann ich ein Update von 2.3.6 auf 2.3.6 pl2 her bekommen, da ich mir ziemlich sicher bin, dass ich noch auf 2.3.6 bin?

Ghostmaster

http://www.woltlab.com/forum/archiv/burn...pl2/#post560840

Das Changelog von 2.3.6 auf 2.3.6pl1 finde ich auf WoltLab nicht, ich schaue mal ob ich es noch lokal irgendwo finde.

Bibini

statt dir das mal zu geben, haben sie dich nun hierher geschickt *g*

jetz musste wieder rüber..dort gibts die changelogs fröhlich

--> http://www.woltlab.com/forum/archiv/burn...logs-fürs-wbb2/

wie man das erkennt, welche du hast, bin ich allerdings überfragt...vielleicht weiss das wer anders Augen rollen

Edit: na klasse..die Links funzen alle nich....vergiss mich ^^markus hats ja schon gepostet oO

Ghostmaster

Hier das Update von 2.3.6 auf 2.3.6pl1

http://www.woltlab.com/forum/archiv/burn...Changelog+2.3.6

Mir ist schon bewusst das es das 2.2.2 ist - aber der Fehler wurde in allen 3 Unterversionen geändert (2.1.x, 2.2.x, 2.3.x) Augenzwinkern

ori-on

Vielen Dank für die raschen Antworten!

Die Links zeigen leider alle in den Archiv Bereich von Woltlab. Wie bekomme ich da wieder Zugriff?

Ghostmaster

Bist du kein WBB2 Kunde mehr gewesen?
Einloggen und im Kundenbereich dafür freischalten.

C-Board

Du hast du bei Woltlab im Forum doch bereits heute die Frage gestellt, also solltest Du auch ins Archiv kommen.

Gruß Mike

ori-on

Zitat:

Original von Ghostmaster
Bist du kein WBB2 Kunde mehr gewesen?

Doch, ich bin WBB2 Kunde. Nur schon ein paar Jahre nicht mehr auf der Seite vorbei geschaut. Also musste ich erstmal meinen Account auf "neu" upgraden. Danach hatte ich Zugang zum Forum, aber nur alles was höher als 3.0 ist.

Versuche ich in den Archiv Bereich des Forums zu gehen (z.B. über den Link oben), bekomme ich folgende Fehlermeldung.

Zitat:

Der Zutritt zu dieser Seite ist Ihnen leider verwehrt. Sie besitzen nicht die notwendigen Zugriffsrechte, um diese Seite aufrufen zu können.

Zitat:

Original von Ghostmaster
Einloggen und im Kundenbereich dafür freischalten.

Ist die Frage wo ich das mache? Ich war im Forum unter "Profil bearbeiten" -> "Verwaltung" -> "Foren an/aus". Dort wird "Archiv Burning Board 2.x" gelistet, und ist mit Häkchen an. Sonst hab ich nichts gefunden. Würde mich freuen wenn mich jemand mit der Nase drauf stoßen könnte wo ich das Archiv anmache.

Vielen Dank für die Hilfe bis hierhin!

Bibini

puh..also ich hab ganz normal meinen account transferiert...allerdings hab ich ne 3.1. von wem abgekauft und in den account verschoben bekommen.....und ich komm ausnahmslos in alle bereiche des forums...ohne dass ich irgendwas spezielles gemacht oder eingestellt hätte...oO

aber mike hatte mal nachgefragt dort..und da ist freundlicherweise zur waybackmaschine verlinkt worden...ich sag dazu besser mal nix..aber vll. wirste ja fündig...drück dir die daumen..

http://www.woltlab.com/forum/allgemein/f...hp/#post1141213

C-Board

Dieser Thread war genau der Anlaß, warum ich dort geschrieben habe bzw. war es ja eigentlich ori-ons Thread großes Grinsen

Schon bezeichnend, dass da Beiträge die sich mit 2.3.6 befassen umgehend geschlossen werden. Und auf Argumente geht man ja so wie so nicht ein.

Mal davon abgesehen, dass ich nach wie vor der Meinung bin, dass der Text auf der HP irreführend ist.

Aber das ist ein anderes Thema.

Sorry, ori-on, aber das wird Dir alles nicht helfen...

Es gäbe für Dich nur die eine Möglichkeit: Wende Dich an ein Forum, dass sich mit Hackeinbau etc. beschäftigt und lasse da Dein Forum auf den aktuellsten Stand bringen.

Wenn Du den Nachweis der gültigen 2.3.6-Lizenz bringen kannst, dann dürfte es da keine Probleme geben - denke ich mal.

Gruß Mike

blobe

Zitat:

Original von C-Board
Dieser Thread war genau der Anlaß, warum ich dort geschrieben habe bzw. war es ja eigentlich ori-ons Thread großes Grinsen

Bibini

^^ oi, zeigst du uns grad, dass du die zitierfunktion kapiert hast? verwirrt

hattu fein demacht *tätschel*

--------------------------------------------

@mike..ich finds halt weng arschig von denen, wenn man so liest, wie die nun über ihre ehemalige Software reden....so als würden sie ihrer eigenen Software am liebsten nun die Krätze an den Hals wünschen... Augen rollen

....aber vieleicht stinkts ihnen ja nur, weil mit DER Software so viele Leute zufrieden waren..und sie mit ihren neuen dem Wbb2 nicht mehr das Wasser reichen können verwirrt

..aso ne, das ist ja auch nur eine Meinung...die meisten lieben das 3er ja angeblich ...
also ich mag das 3er und das 2er...aber das 2er hatte trotzdem m.E. nach viel mehr Möglichkeiten...mir fehlen die Smilies und Icons pro Style schon sehr ... unglücklich

Ghostmaster

Gut bevor das wieder in eine unnötige Diskussion ausartet, machen wir es halt so. Augenzwinkern

Update WBB 2.3.6 -> WBB 2.3.6.pl1

code:

1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:


Datei: /pms.php
------------------

Suche (Zeile 257):
        if ($_POST['pmid'] && count($_POST['pmid'])) $pmids = implode(',', $_POST['pmid']);
		
Ersetze mit:
        if ($_POST['pmid'] && count($_POST['pmid'])) $pmids = implode(',', intval_array($_POST['pmid']));
		
+++++++++++++++++++++++
+++++++++++++++++++++++

>>> SPEICHERN <<<

=====================================================
=====================================================
=====================================================

Datei: /search.php
------------------

Suche (Zeile 622):
                                while (list($key, $val) = each($_POST['boardids'])) if ($val > 0) $tempids .= ",".$val;
								
Ersetze mit:
                                while (list($key, $val) = each($_POST['boardids'])) if ($val > 0) $tempids .= ",".intval($val);

Update WBB 2.3.6pl1 -> WBB 2.3.6.pl2

code:

1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
63:
64:
65:
66:
67:
68:
69:
70:
71:
72:
73:
74:
75:
76:
77:
78:
79:
80:
81:
82:
83:
84:
85:
86:
87:
88:
89:
90:
91:
92:
93:
94:
95:
96:
97:
98:
99:
100:
101:
102:
103:
104:
105:
106:
107:
108:
109:
110:
111:
112:
113:
114:
115:
116:
117:
118:
119:
120:
121:
122:
123:
124:
125:
126:
127:
128:
129:

modcp.php


suche nach:

if(is_array($_POST['postids']) && count($_POST['postids'])) $postids=implode(',',$_POST['postids']);

ersetze durch:

if(is_array($_POST['postids']) && count($_POST['postids'])) $postids=implode(',',intval_array($_POST['postids']));

suche nach:

if($postcount==$thread['replycount']+1) {

ersetze durch:

list($totalposts) = $db->query_first("SELECT COUNT(*) FROM bb".$n."_posts WHERE threadid = '".$threadid."'");
  if ($postcount == $totalposts) {

suche nach:

if(is_array($_POST['postids']) && count($_POST['postids'])) $postids=implode(',',$_POST['postids']);

ersetze durch:

if(is_array($_POST['postids']) && count($_POST['postids'])) $postids=implode(',',intval($_POST['postids']));

suche nach:

if(!$merge_thread['threadid']) error($lang->get("LANG_MODCP_ERROR_CANTMERGE"));

ersetze durch:

if(!$merge_thread['threadid'] || $merge_thread['threadid'] == $threadid) error($lang->get("LANG_MODCP_ERROR_CANTMERGE"));

suche nach:

$boardids = $_POST['boardids'];

ersetze durch:

$boardids = intval_array($_POST['boardids']);

----------------------------------------------------------------------

newthread.php


suche nach:

$boardids = $_POST['boardids'];

ersetze durch:

$boardids = intval_array($_POST['boardids']);

suche nach:

mailer($row['email'],$mail_subject,$mail_text);
   }

füge darunter ein:

   if($important==2) {
    $db->unbuffered_query("INSERT INTO bb".$n."_announcements (boardid,threadid) VALUES ('$boardid','$threadid')",1);
   }

suche nach:

    if($important==2) {
     $db->unbuffered_query("INSERT INTO bb".$n."_announcements (boardid,threadid) VALUES ('$boardid','$threadid')",1);
     header("Location: newthread.php?action=announce&threadid=$threadid&sid=$session[hash]");
    }

ersetze durch:

if($important==2) header("Location: newthread.php?action=announce&threadid=$threadid&sid=$session[hash]");

suche nach:

if(isset($_POST['attachment_id'])) $attachment_id=$_POST['attachment_id'];

ersetze durch:

if(isset($_POST['attachment_id'])) $attachment_id=intval($_POST['attachment_id']);

----------------------------------------------------------------------

pms.php


Keine Änderungen gefunden.

----------------------------------------------------------------------

register.php


suche nach:

$r_signature = htmlconverter($r_signature);

füge darunter ein:

 $r_dateformat = htmlconverter($r_dateformat);
 $r_timeformat = htmlconverter($r_timeformat);

----------------------------------------------------------------------

usergroups.php


suche nach:

if(is_array($_POST['applicationids'])) while(list($applicationid,$val)=each($_POST['applicationids'])) if($val==1) $deleteids[]=$applicationid;

ersetze durch:

if(is_array($_POST['applicationids'])) while(list($applicationid,$val)=each($_POST['applicationids'])) if($val==1) $deleteids[]=intval($applicationid);

suche nach:

while(list($userid,)=each($_POST['userids'])) {

füge darunter ein:

	  $userid = intval($userid);

C-Board

Zitat:

Original von Ghostmaster
Gut bevor das wieder in eine unnötige Diskussion ausartet, machen wir es halt so. Augenzwinkern

Das hatte ich mich nicht getraut großes Grinsen

WellDone!

Gruß Mike

shakey

Gute Entscheidung Ghostmaster!

Wenn Woltlab seine alten wBB 2 Kunden zum Teufel jagt, dann bekommen sie halt hier ihre benötigten Informationen.

Schrimm

Zitat:

Original von C-Board

Zitat:

Original von Ghostmaster
Gut bevor das wieder in eine unnötige Diskussion ausartet, machen wir es halt so. Augenzwinkern

Das hatte ich mich nicht getraut großes Grinsen

WellDone!

Gruß Mike

Ist ja nicht so, dass da Sachen dabei sind, auf die man selber nicht kommen könnte. cool

Bzw. Sind die Codestellen sowieso komplett aus dem Kontext gegriffen, sodass sie von jeder "beliebigen" Software stammen könnten.

Die Änderung für die footer.tpl fehlt noch. großes Grinsen

Ghostmaster

Zitat:

Original von shakey
Gute Entscheidung Ghostmaster!

Wenn Woltlab seine alten wBB 2 Kunden zum Teufel jagt, dann bekommen sie halt hier ihre benötigten Informationen.

und weil ich das WBB2 immer noch liebe großes Grinsen

dedie

Zitat:

Original von C-Board
Das hatte ich mich nicht getraut großes Grinsen

WellDone!

Gruß Mike

Warum nicht, die kompletten Changelogs gibt im http://www.wbbcoderforum.de für wbb2 freigeschaltete user zum runterladen Freude

Bräke

Zitat:

Original von Schrimm
Die Änderung für die footer.tpl fehlt noch. großes Grinsen

Falls du damit die Versionsnummer meinst, das wurde offizell/original beim 2.3.6 nie auf pl1 oder pl2 erweitert.

Schrimm

Zitat:

Original von Bräke

Zitat:

Original von Schrimm
Die Änderung für die footer.tpl fehlt noch. großes Grinsen

Falls du damit die Versionsnummer meinst, das wurde offizell/original beim 2.3.6 nie auf pl1 oder pl2 erweitert.

Ja, die meinte ich.
Dient aber eher dazu, dass man auch in Zukunft weiß, welche "Version" man nun besitzt.
Nach einer gewissen Zeit könnte man sich ja doch wieder unsicher werden bzw. vergessen, dass man das Update nun gemacht hat.

nächste Seite

Forensoftware: Burning Board, entwickelt von WoltLab GmbH