S2B-Project.de

Zuerst eine längere Abi-bedingte Auszeit auf S2B-Project.de, und jetzt schon wieder eine ernste Nachricht. Bei der Validierung auf phpBB.com sind leider wieder zwei Sicherheitslücken im Advanced Report Hack aufgetaucht, die ich selbst nicht gefunden hatte. Ich habe gerade Version 4.2.4 hochgeladen und gehe davon aus, dass jetzt endlich alle Lücken geschlossen sind – aber sicher weiß man das natürlich nie. Bitte updatet euer Forum so schnell wie möglich – sind ja nur ein paar wenige Anweisungen.

An dieser Stelle möchte ich mich nochmals für die Umstände, die es mit meinen MODs in letzter Zeit gab, entschuldigen, und hoffe, dass es keine Foren erwischt hat.

Und gleich noch eine weitere ernste Nachricht hinterher: Auch im Archive MOD gab es einige Sicherheitslücken. Zum Teil war die Ursache die gleiche wie beim Advanced Report Hack, in einem (besonders gravierenden) Fall war es eine Art Tippfehler. Dort habe ich anstatt str_replace("'", "''", $string) ein str_replace("''", "'", $string) verwendet, das natürlich extrem kontraproduktiv ist…

Wie dem auch sei: Die Fehler wurden mit der soeben hochgeladenen Version 2.0.6 behoben (Updaten!). An dieser Stelle möchte ich mich für die Unannehmlichkeiten entschuldigen. Ich hoffe natürlich, dass so etwas nicht mehr vorkommt, aber ausschließen kann man das natürlich nie.

Dieses Mal gibt es eine weniger erfreuliche Sache zu berichten: Durch Zufall bin ich bei Tests auf ernste Sicherheitslücken im Advanced Report Hack gestoßen. Genauer gesagt handelt es sich dabei um SQL-Injections. Dies war möglich, da ich leichtsinnigerweise stripslashes() zum Entfernen der Magic Quotes eingesetzt, jedoch später nur mit str_replace("'", "''", $string) escaped habe.

Gerade eben habe ich Version 4.2.3 des MODs hochgeladen, mit der die Lücke geschlossen wurde. Ich rate jedem, der den MOD einsetzt, so schnell wie möglich auf die neue Version zu updaten.

Oha, ganz vergessen… Vor zwei Tagen habe ich Version 4.2.2 des Advanced Report Hacks released. Mit ihr wurden lediglich ein paar Kleinigkeiten behoben.

Und schon das nächste Update: Dieses Mal wurde neben ein paar kleineren Optimierungen die E-Mailbenachrichtigung bei neuen Meldungen repariert, diese funktionierte nämlich in Version 4.2.0 nicht mehr. Außerdem gibt es jetzt eine weitere Option für die Löschbefugnis-Einstellung: Die bisherige Option „Administratoren“ wurde in „Moderatoren (nach Bestätigung)“ umbenannt, da sie letztendlich genau das bewirkt hat. Die neue Option „Administratoren“ verbietet Moderatoren das Löschen von Meldungen komplett, in der Praxis bedeutet das, dass ihnen der Löschen-Button erst gar nicht angezeigt wird.

Ich hoffe, dass ich mit diesem Update jetzt alle benötigten Features integriert und keine neuen Fehler eingebaut habe. Vielleicht bleibt der MOD ja jetzt bei Version 4.2.1…