Neue Confix-Lücke

[captaincrunch]

http://lists.netsys.com/pipermail/full- ... 23057.html

[bungeebug]

Was nur fehlt sind Versionsangaben. Oder sind alle Versionen betroffen?

[sascha]

Alle mit dem Backup Feature. Also ab 2.0. Aber neu ist dieser Bug glaube ich nicht. Vor einigen Monaten gabs dazu mal was in der Webhostlist zu lesen.

[adjustman]

und wie, auf den Beitrag bezogen, kann man das Backupscript deaktivieren?

[Outlaw]

So, hab mal ein bisserl gestöbert.

Ich weiss nicht, obs was hilft aber ich habe einfach mal den Backuplink aus dem Confixx Menü rausgenommen.

Das Backupskript scheint noch aus der Confixx 2.x Zeit zu sein, da es im Header noch die alte Bezeichnung trägt und das bis zu Version 3.0.2 hinein.

Also, Link aus dem Menü herausnehmen geht so (Links ggf. anpassen):

Die Datei

/home/www/confixx/html/user/ver_xp30_frame_left_nav_tree.php

sichern und darin per Suche nach "backup" suchen (sollte so an Zeile 205 zu finden sein) und dann die folgenden Zeilen mit auskommentieren, daß es dann nacher so aussieht:

Code: Select all

//      $gui->make_menu_item('backup',
//              ltext('m_backup'),
//              $gui->make_menu_target_int("tools_backup.php", "toba_desc1", "")
//      ),

Datei speichern und testen. Man könnte jetzt noch die Backupdatei tools_backup.php umbenennen aber ich weiss nicht, was das dann für auswirkungen hat ....

Ok, sicherlich nicht die beste Methode aber was besseres fällt mir im Moment nicht ein.

Wer nen anderen Tip hat, bitte her damit.

Gruß Outi

[kostya]

ich würde einfach die Ausführrechte von /root/confixx/backup.pl wegnehmen bis ein Patch da ist.

edit:

nocht gibt es /root/confixx/admin/scripts/backup.pl sollte man wahrscheinlich auch deaktivieren.

[blnsnoopy26]

ich würde einfach die Ausführrechte von /root/confixx/backup.pl wegnehmen bis ein Patch da ist.

Jo gute idee ... habe meiner backup.pl chmod 0 gegeben und somit ist es erst einmal aus dem verkehr gezogen :)

[Outlaw]

Doofe Frage:

Kann man die backup.pl überhaupt von "aussen" aufrufen ??

Habs noch nie probiert, ich dachte immer, die kann nur vom Server selbst gestartet werden, wegen den Rechten ....

Gruß Outi

[bungeebug]

Su dumm ist die garnicht. Für Leute, die den Server alleine benutzen ist das warscheinlich mehr als interessant. Weil wer will schon seine eigenen PW "stehlen" ?

[msgbeep]

in den root Verzeichnissen bei uns dem Server gibts gar keine backup.pl File. Also sollte doch so ein Problem erst garnicht auftreten.

msgbeep

[kostya]

Doofe Frage:

Kann man die backup.pl überhaupt von "aussen" aufrufen ??

Habs noch nie probiert, ich dachte immer, die kann nur vom Server selbst gestartet werden, wegen den Rechten ....

Gruß Outi

Ich hoffe doch sehr, dass man dies nicht kann.
Ohne mich zu stark mit dem Problem auseinandergesetzt zu haben, habe ich angenommen, dass über webinterface nur "gefährliche" Parameter in die db geschrieben werden können. Diese werden dann von backup.pl verwendet, um den backup anzulegen.

[jlinker]

Ich setze noch die 2.0x ein - eine backup.pl Datei gibts jedoch bei mir nicht :roll: komisch

[hackfrag]

ist das Problem bei der 3.0.3 jetzt behoben worden?