Mal nett meckern - yabbse Sicherheitslücke

[SpinningJenny]

Hi Ihrs!

Seit einiger Zeit hatte ich in meinem unsichtbaren Moderatorenforum den Verdacht, dass jemand Internas nach Aussen plaudert, denn plötzlich tauchten bei der "Konkurrenz" Informationen auf, betreffs Themen, die mein Modi - Eck beinhaltete.
War ne blöde Situation, über Wochen habe ich mir den Kopf zerbrochen, ob man mich gehackt hat, oder ob ich mein Vertrauen jemandem schenke, der es nicht verdient hat.
Aufschluss brachten erst auffällige Error-Logfiles, die Pitti, der bei mir sehr engagiert mitwirkt, entdeckte: Jemand wählte ganz konkret die URLs von Themen an, die im Modi-Eck standen, allerdings wurde demjenigen der Zugriff verwährt.
Nach Durchsuchen von zich MB grossen Accesslog-Files kam ein andere Admin dahinter: Unter "Statistik" , unten in der Boardübersicht, kann JEDER, selbst ein Gast, die Top  Themen (Überschriften)  des gesamten Forums, incl. der unsichtbaren, einsehen.
Leider waren diese Themenüberschriften teils sehr brisant, und dessen bekannt werden war nicht so der Clou  
Durch diesen Fall wandere ich immer noch am Rande eines Rechtsstreits, denn durch diese Überschriften neugierig gemacht, probierte ein jetziges Ex-Mitglied fleissig Passwörter von Modis und Admins aus, davon abgesehn, dass die genauen URLs der Beiträge dadurch bekannt wurden.  
Klar, hätte ich auch mal früher entdecken können, diese Statistik, hatte ich noch nie draufgeklickt, und wenn man eh immer alles als Admin sehn kann, verliert man (bzw ICH) schon mal den Überblick, was Mr. Normaluser alles sehn, bzw NICHT sehn kann.
 
Wollte bloss mal die Proggis hier auf das Problem aufmerksam machen.
Ich benutze Yabbse 1.5.2 , falls das wichtig ist.

Der liebe Pitti hat mir das Problem flux wegprogrammiert, nochmal einen fetten Dank dafür!

Ansonsten finde ich die Software klasse!
(muss ja auch mal loben tun )


lieben Gruss,
Jenny

[Daniel D.]

Ich glaube dieses Problem ist bekannt.

Trotzdem wäre es nett, wenn Pitti seine Lösung hier schreiben würde. Es scheint ja kein "einfaches" Problem zu sein und ich denke es gibt noch eine Menge anderer Boards, bei denen sich dieser Umstand ebenfalls schlecht auswirken würde...

Nochmals vielen Dank und schubse den Pitti mal hierher !

[Pitti]

hihi,

wegprogrammiert is jut, ich hab lediglich den link vor den usern  versteckt und die ausführbarkeit der funktion auf admin und gm beschränkt.
die ursache, also die action stats kommt später ...

gruß pitti

[Pitti]

na oki,

hier erstmal die einfache bekämpfung der wirkung:

in security.php (die is eh zuständig) addet ihr folgende funktion:

Code Select Expand


function is_globmod () {
       global $settings,$txt;
       if($settings[7] != 'Global Moderator' and $settings[7] != 'Administrator') { fatal_error($txt[1]); }
}

welche dann in stats.php ganz oben aufgerufen werden soll.

in der boardindex nun noch die links verstecken, etwas so ungefähr in zeile 460 rum:

Code Select Expand


if ($modSettings['trackStats'] == 1)
                                       if ($settings[7] == 'Administrator' || $settings[7] == 'Global Moderator')
                                       $stats = "<br /><a href=\"$scripturl?board=;action=stats\">$txt[yse223]</a>";



gruß pitti

[SpinningJenny]

Ich glaube dieses Problem ist bekannt.

Hi Daniel!

Mir leider nicht! (gewesen)    

Ich sollte wohl öfter und fleissiger bei Euch mitlesen...  

@Pitti: Äh, genauso hätte ich es auch gemacht...  

Gruss,
Jenny

[Pitti]

hmm,

da ichse grad dat brain am laufen hab, frag ich mich, von welcher seite packt man das prob nun am besten an?

der erste ansatz (siehe oben) löst zwar das problem, aber eben nicht unbedingt die ursache. wobei das ja evtl. ausreichend wäre, da die ausgaben dieser funktion ja eher den admin interessiert, als den gemeinen user. wenn man also das ganze ins adminpanel integriert, wär die sache ja gegessen ...

übrigens, droht ähnliches "ungemach" auch aus richtung ssi.php bzw deren exsamples, die ich übrigens bei nichtbenutzung eh garnicht mit rauflade.

naja, es rasselt noch  

gruß pitti

[Daniel D.]

Ich denke man müsste die Stats.php dahingehend ändern, dass der User nur die Themen sieht, die seinem "Status" entsprechen...

[chris]

Ihr könnt Euch bei [unknown] bedanken... der hat verpennt meinen Fix für das Problem in die 1.5.1/1.5.2 einzufügen.... ich poste die Lösung für das Problem gleich... danach zeigt die Statistik nur noch das an, was ein User auch sehen darf... muss nur kurz den Kram wiederfinden

[chris]

Durch diesen Fall wandere ich immer noch am Rande eines Rechtsstreits, denn durch diese Überschriften neugierig gemacht, probierte ein jetziges Ex-Mitglied fleissig Passwörter von Modis und Admins aus, davon abgesehn, dass die genauen URLs der Beiträge dadurch bekannt wurden.  

Ein Rechtsstreit *gegen* Dich?

Wenn ja, würde ich den User nett darauf aufmerksam machen das das was er probiert hat (mehrere Passwörter testen) durchaus als strafbare Handlung angesehen werden kann. Das ist eine gezielte "Brute-Force" Attacke gegen Dein Forum (Interessant sind in dem Zusammenhang : StGB §202a, StGB §303a und §303b, etc.)

Naja... ansonsten für den ollen Pitti, damit er weiss was er bei Dir zu tun hat

Schnapp Dir die Stats.php und ersetze

Code Select Expand

   // Topic replies top 10
   $topic_reply_result = mysql_query("SELECT {$db_prefix}topics.*,m.* FROM {$db_prefix}topics,{$db_prefix}messages as m, {$db_prefix}messages as mes WHERE (m.ID_MSG={$db_prefix}topics.ID_FIRST_MSG && mes.ID_MSG={$db_prefix}topics.ID_LAST_MSG) ORDER BY {$db_prefix}topics.numReplies DESC LIMIT 10") or database_error(__FILE__, __LINE__);
   
durch:

Code Select Expand

   // Topic replies top 10
       $topic_reply_result = mysql_query("SELECT {$db_prefix}topics.*,c.memberGroups,m.* FROM {$db_prefix}topics,{$db_prefix}messages as m, {$db_prefix}messages as mes , {$db_prefix}boards as b, {$db_prefix}categories as c
                    WHERE (m.ID_MSG={$db_prefix}topics.ID_FIRST_MSG && mes.ID_MSG={$db_prefix}topics.ID_LAST_MSG) AND (({$db_prefix}topics.ID_BOARD=b.ID_BOARD) AND (c.ID_CAT=b.ID_CAT) AND ({$condition}))
                    ORDER BY {$db_prefix}topics.numReplies DESC LIMIT 10");
                   
und danach suchst du

Code Select Expand

   // Topic views top 10
   $topic_view_result = mysql_query("SELECT {$db_prefix}topics.*, m.* FROM {$db_prefix}topics, {$db_prefix}messages AS m, {$db_prefix}messages AS mes WHERE (m.ID_MSG={$db_prefix}topics.ID_FIRST_MSG && mes.ID_MSG={$db_prefix}topics.ID_LAST_MSG) ORDER BY {$db_prefix}topics.numViews DESC LIMIT 10;") or database_error(__FILE__, __LINE__);

und ersetzt es durch:

Code Select Expand

   // Topic views top 10
   $topic_view_result = mysql_query("SELECT {$db_prefix}topics.*,c.memberGroups,m.* FROM {$db_prefix}topics,{$db_prefix}messages as m, {$db_prefix}messages as mes , {$db_prefix}boards as b, {$db_prefix}categories as c
            WHERE (m.ID_MSG={$db_prefix}topics.ID_FIRST_MSG && mes.ID_MSG={$db_prefix}topics.ID_LAST_MSG) AND (({$db_prefix}topics.ID_BOARD=b.ID_BOARD) AND (c.ID_CAT=b.ID_CAT) AND ({$condition}))
            ORDER BY {$db_prefix}topics.numViews DESC LIMIT 10");                 

und schon sollte die Funktion sicher sein. (wie es funktioniert: durch $condition wird eine Bedingung in die SQL-Statements eingefügt die ein wenig weiter oben, bei den Top Ten der Boards, definiert wird - diese sorgt dafür das nur Bretter berücksichtigt werden die ein User sehen darf)

[MC600]

Danke Christian, an dieser Lösung habe ich gerade gebastelt, bin aber mit der Abfrage nicht so recht klar gekommen...

[chris]

Danke Christian, an dieser Lösung habe ich gerade gebastelt, bin aber mit der Abfrage nicht so recht klar gekommen...

Hättest auch hier:

http://www.yabbse.org/community/index.php?board=170;action=display;threadid=20731;start=0

fündig werden können Der Fehler wurde nämlich schonmal diskutiert *g*

[MC600]

Na an alles kann ich mich dann doch nicht erinnern  

Hat es einen Grund, warum du

Code Select Expand

or database_error(__FILE__, __LINE__) nicht mit eingebaut hast oder nur vergessen.

[chris]

Na an alles kann ich mich dann doch nicht erinnern  

Hat es einen Grund, warum du

Code Select Expand

or database_error(__FILE__, __LINE__) nicht mit eingebaut hast oder nur vergessen.

Natürlich hat es einen Grund *schamlos lüg* Das ist wegen der Elektronen-Fluktuation während der reversen Quanten-Induktion in MySQL....  

In anderen Worten: Ich habs vergessen....

[SpinningJenny]

Durch diesen Fall wandere ich immer noch am Rande eines Rechtsstreits, denn durch diese Überschriften neugierig gemacht, probierte ein jetziges Ex-Mitglied fleissig Passwörter von Modis und Admins aus, davon abgesehn, dass die genauen URLs der Beiträge dadurch bekannt wurden.  

Ein Rechtsstreit *gegen* Dich?

Wenn ja, würde ich den User nett darauf aufmerksam machen das das was er probiert hat (mehrere Passwörter testen) durchaus als strafbare Handlung angesehen werden kann. Das ist eine gezielte "Brute-Force" Attacke gegen Dein Forum (Interessant sind in dem Zusammenhang : StGB §202a, StGB §303a und §303b, etc.)

Naja... ansonsten für den ollen Pitti, damit er weiss was er bei Dir zu tun hat

Hi Christian!

Naja, Rechtsstreit dann eher ICH gegen das (EX)-Mitglied, allerdings hat es mich trotzdem in die Bedrouille gebracht.
Wer einen Einblick bekommen möchte:
forum.webtropia.com/wonder/?nachricht=1753299
(ich setze es mal nicht als Link, wegen der Referrer-Url.)
Das postete das Mitglied, das versuchte, sich einzuloggen.
Meine Reaktion: Die Dame erhält heute ein Einschreiben, und ich habe mal fein veröffentlicht, was sie versucht hat.
Und zwar HIER

Danke für die StGB Paragraphen, vielleicht brauch ich die ja doch noch.
Wenn sich allerdings nichts Neues ergibt, sehe ich von einer Anzeige ab, will sie nur erschrecken.
Allerdings bekomme ich 3 andere Leute zusammen, die auch kurz vor knapp stehn, die wegen verleumderischer Aussagen anzuzeigen.

Soviel zum Nähkästchen
Beim Programmieren kann ich eh nicht mitreden.  

Fazit: Ein Kaninchenforum betreiben ist KEIN Zuckerschlecken!


lieben Gruss,
Jenny

[chris]

Wenn Du noch ein bisschen mit Paragraphen, etc. rumschmeissen willst:

http://www.mendarien.com/board/index.php?board=1;action=display;threadid=40

Das ist ein Text den ich mal geschrieben habe als es in meinem alten Forum ziemlich rund ging und die Situation ein wenig (<---- absolute Untertreibung) eskalierte...

(und nu hab ich den in mein neues Forum mitgenommen *g*)

Da werden ein paar rechtliche Belange angesprochen...