| asw: Lücke im Thread-Zugriffssystem | Archilles | Dienstag, 17.12.2002 19:46:52 |
| Ich habe kurz vor dem morgigen Release des Patches ein kleines Sicherheitsloch im Skript gefunden. Es befindet sich um Zugriffssystem des Threadssystems und kann unter bestimmten Bedingungen ausgehebelt werden. Alle Versionen, die dieses System einsetzen, sind betroffen: 1.7.5, 1.6.1 und 1.6.0. In einigen Versuchen konnte ich erfolgreich bei einigen Aktionen geschützte Beiträge mit nicht priviligierten Konten zugreifen. Sprich, ich konnte lesen, was eigentlich nicht sein dürfte. Es tritt erst zu Tage, wenn man bei den Lese-ZKLs der Kategorien das sogenannte "Gruppenrecht" einsetzt. Dadurch, daß dieses Recht explizit gewährt wird, ändert sich die Sperre. Dies erfolgt natürlich nur, wenn Ihr einen höheren Level habt, als von der Kategorie verlangt wird. Das Loch tritt allerdings nicht auf, wenn Ihr "Alle Benutzer" erlaubt und keine ZKL definiert. Man kann, wenn man die Forum-ID einer solchen Kategorie nutzt (wo man nun kein Leserecht per ZKL hat, aber durch das Gruppenrecht), eine Sperre durchbrechen und beliebige Threads lesen, zumindest die Antworten. Diese werden derzeit nicht auf eine gültige Forum-ID überprüft. Zieht man diese Schraube im Code an, hagelt es zwar Fehler, jedoch gelangen keine Informationen zum Benutzer. Beispiel: Ihr erstellt eine Kategorie (oder ändert eine ab) und erteilt Euch später dann kein Lese-Recht, gestattet aber Gruppenrecht. Hier solltet Ihr nun trotzdem lesen dürfen. Sperrt Euch aus einer anderen Kategorie aus, indem Ihr dort eine Lese-ZKL erstellt, aber KEIN Gruppenrecht und Euch nicht auf die Zugriffsliste setzt. Normalerweise solltet Ihr hier jetzt nicht mehr lesen können. Effektiv ist es, Ihr öffnet einen Thread aus dem Forum in einem zweiten Browserfenster und ladet dieses nach der Sperrung neu. Es sollte nun die Ansicht verweigern. Setzt im Adressfeld nun bei "forum=xx" die ID des Forums ein, wo Ihr Gruppenrecht besitzt. Wenn alles richtig ist, solltet Ihr nun die Antworten des Threads zu sehen bekommen, obwohl Ihr eigentlich kein Recht dazu hättet. Abhilfe? Klar, ich werde einen gründlichen Fix erarbeiten. In den morgigen Patch werden es nur "Flickschustereien" schaffen. Ein guter Schutz wäre es, auf dieses Gruppenrecht vorerst zu verzichten. |
||