Fehlernummer: TI# 2007005T
Betroffene Version(en): TIBBS 1.2a-9
Bereinigtes Build: TIBBS 1.2b-1
Datum: 30.4.2007, 12:02
Schweregrad: Mittel
Versucht ein Partner oder ein Administrator, ein Brett zu löschen, so kann es vorkommen, das die Aktion fehlschlägt, und nur Teile der Aktion ausgeführt werden.
TIBBS bis einschließlich Version 1.2a-9 ermöglicht es, Bretter und deren Inhalte wie Archive und dergleichen direkt unter der Bedienoberfläche zu löschen. Diese Aktion steht dem berechtigten Eigentümer des Brettes oder einem Administrator offen.
Durch Veränderung der Verzeichnisrechte auf dem Backup-Verzeichnis kann es passieren, das es nicht möglich wird, ein Backup zu erstellen. TIBBS erstellt automatisiert bei jedem gelöschten Brett ein Backup. Unter Linux werden die Verzeichnisrechte über CHMOD vergeben. Davon ausgehend, dass der Benutzer für die Ausführung von PHP Dateien in der gleichen Gruppe wie der FTP Benutzer ist, benötigt das Verzeichnis die Rechte 760. Unter Umständen können auch weiter reichende Rechte benötigt werden. Es muss aber auf jeden Fall sichergestellt werden, dass die PHP Skripte einen schreibenden Zugriff auf das Backup-Verzeichnis besitzen.
Der Patch prüft, ob das Verzeichnis durch TIBBS überhaupt beschreibbar ist. Sollte dies nicht der Fall sein, wird die Aktion angebrochen. Die Änderungen sind durch eine Suche nach (2007005T) in den Dateien ausfindig zu machen.
Es wird eine neue Funktion in der Datei 'Security_Functions.php' hinzugefügt. Diese Funktion trägt den Namen 'is_writable($path)' und gibt bei Schreibzugriff ein TRUE (1) und bei fehlendem Schreibzugriff ein FALSE (0) zurück.
Die Funktion ist in der Lage, den Zugriff sowohl für Verzeichnisse wie auch für Dateien zu überprüfen. Verzeichnisse müssen mit einem hinten folgenden Slash '/' der Variable übergeben werden.
Download des Patches TI2007005T.zip. Extrahieren der Dateien. Kopieren der enthaltenen Datei 'Security_Functions.php' in /functions/Security_Functions.php - hier ist die bestehende Version der Datei durch die gepatchte Datei zu überschreiben. Kopieren der ebenfalls enthaltenen Datei 'ExportBoard.php' in /extended/administration/ExportBoard.php - hier ist die bisherige Version 1.2a-9 der Datei ebenfalls zu überschreiben.
TIBBS steht für TRAVAR Internet Bulletin Board Software und bezeichnet eine Foren-Software, die es ermöglicht, getrennte Foren mit verbindenden Elementen wie Brettern und Funktionen auszustatten. TIBBS wird von Myrias.de genutzt, einem der größten deutschen freien Forenportale.
Shortlinks