Mailer-Project Community

Hast du auch das Patch testing-mxchange.zip verwendet? Denn dort habe ich - weiter unten detailierter beschrieben - einen weiteren Fehler beseitigen koennen.

Ich habe hier im Forum eine Anleitung reingestellt, wie ich es installiert bekommen habe. Dabei habe ich jeden Schritt aufgeschrieben und hier reinkopiert.

Hast du die auch gefunden und alle dort angegebenen Patches und Versionen benutzt? Zuletzt hatte ich einen "Fehler" in der inc/libs/security_functions.php gefunden. Letztendlich fehlte der Eintrag SERVER_ADDR im globalen Datenfeld $_SERVER, welches auf eine Fehlkonfiguration hindeutet. SERVER_ADDR - bzw. $_SERVER['SERVER_ADDR'] - sollte immer die IP-Nummer deines Servers enthalten. Dass ich diese abfrage, ist ein Schutzmechanismus gegen Angriffe, die die Faelschbarkeit von SERVER_NAME - du ahnst es vielleicht bereits, was darin steht - sich zu Nutzen machen.

Dagegen sollte der Schutz eigentlich ausreichen - ohne Garantie versteht sich...

Okay, versuch' bitte dennoch mal, die Anleitung Schritt-Fuer-Schritt abzuarbeiten. Wenn du sie bereits ausprobiert hast, muss ich genauere Infos haben, um den Fehler im Script zu lokalisieren.

Hallo,

ich wollte dich nicht persoenlich angreifen.

Okay, ich habe einen weiteren Fehler nochmals in security_functions.php entdeckt. Dieser tritt nur auf, wenn die langen Arrays (HTTP_GET_VARS und HTTP_POST_VARS) in der php.ini ausgeschaltet sind. Da mein Script aber diese (0.3.0 bringt da Abhilfe!) verwendet und nicht jeder Zugriff auf die php.ini haben, koennen sie auch nicht den Fehler beseitigen bzw. nur umgehen. Denn:

Mein Script prueft, ob z.B. HTTP_GET_VARS vorhanden ist. Ist dies nicht der Fall, versuche es auch $GLOBALS['HTTP_GET_VARS'] dies zu rekonstruieren. Nur existiert dies ebenfalls nicht, sondern $GLOBALS['_GET'].

Sorry, hier liegt definitiv ein Denkfehler meinerseits vor und ich moechte mich bei euch ehrlich entschuldigen! Ich hoffe, ihr koennt mir den Fehler verzeihen, denn solch ein Szenario habe ich (leider) noch nicht durchgetestet! Ein anderer hatte ebenfalls 400-Fehler bekommen und ich konnte sie mit Beseitigen des obrigen Fehlers ebenfalls beseitigen.

Bitte lade dir also erneut testing-mxchange.zip herunter und spiele es vor der Installation ein.

Gruss,
Roland

Teste bitte mal das testing-mxchange.zip (entpackt natuerlich ) erneut. die pruefung der SERVER_ADDR mit der aufgeloesten IP-Nummer von SERVER_NAME war zu streng. Ich lasse jetzt nur die ersten 3 Stellen vergleichen. Ist unsicherer, hat aber den besagten 400-Fehler beseitigt.

Wenn es noch immer nicht klappt, gebe mir per PN ein Test-FTP-Account und lade eine phpinfo.php - Inhalt sollte bekannt sein - hoch!

Danke fuer die Muehe.

Habe ich private Nachrichten nicht eingeschaltet? Sonst auf Nickname klicken. Per ICQ geht's auch, kann aber mit sniffern abgefangen werden

du hast Post

Leider nicht angekommen. Aber du hast Post und kannst im Email-Programm einfach auf Antworten klicken.

wo denn? Ich finde keine E-Mail an mich :-(

okay...ich habs gefunden.

Antwort ist unterwegs

Ah, hab deine Mail.

Ja, das stimmt okay. Also, ich wuerde folgendes machen:

- inc/libs/security_functions.php oeffnen
- Nach der Zeile mit $ip = .....; suchen
- Danach folgendes einfuegen: die($ip."/".$_SERVER['SERVER_ADDR']."/".$_SERVER['SERVER_NAME']); Und dann schauen, was er an Ausgaben macht.

die Ausgabe hab ich dir per Mail geschickt, da
ja nicht jeder meine IP bzw URL kennen muss

Ich habe mir mal die security_functions.php aus PL503 angesehen. Hier fehlt der if()-Block mit der IP-Nummerueberpruefung ganz. Ich habe das eingebaut, um Angriffe auf SERVER_NAME etwas abzufedern.

Es ist moeglich, mit einer modifizierten Anfrage (GET/HEAD/POST geht alle gleichsam) an einen geziehlten Server einen gefaelschten Host-Eintrag zu senden. Im Host-Eintrag steht normalerweise z.B. forum.mxchange.org. Aber einige "Schlauberger" haben hier mit meinem Server versucht, Adressen wie blabla.com zu erreichen (waren natuerlich andere Adressen).

Was auch immer die damit bezwecken wollten, ich habe mich daher entschieden, dies mit ein paar regulaeren Ausdruecken - man kann auch Scripte an Host uebergeben, ich habe es selber ausprobiert - und eben der Sicherheitsabfrage durch Aufloesen des gegebenen Hostnamens in eine IP-Nummer und Abgleich mit der (theoretisch nicht faelschbaren) IP-Nummer aus SERVER_ADDR abuzfangen.

Allerdings scheint dies auch einige "ehrliche" Anfragen zu unterbinden. Beispielsweise war bei einem die aus SERVER_NAME aufgeloeste IP-Nummer nur in der letzten vierten Stelle unterschiedlich mit der aus SERVER_ADDR. Bei dir war dies sogar komplett unterschiedlich. Hier sperrt natuerlich mein Script.

Hier faellt mir derzeit keine bessere Loesung ein, als dass ihr es auf eigener Gefahr hin ausbaut und somit deaktiviert. Oder nur den IP-Nummernabgleich ausbaut. Ich werde das in 0.3.0 beruecksichtigen und den Test an der besagten Namensaufloesung gleich mit in die Installationsroutine einbauen. Ich muss allerdings schauen, wie und wo ich es implementiere.

Okay, wie ich dir schon in der Mail und eben auch schrieb: Vielleicht kannst du - und auch ihr anderen mit selbigen "weissen Seiten" oder 400-Fehlermeldungen dies mal ausprobieren und den Abgleich der Server-IP mit der aufgeloesten von SERVER_NAME aus security_functions.php ausbauen.

In 0.3.0 wird dies dann wohl grossen Uebels nur zum Teil noch Bestand haben. Ich werde wenigstens die regulaeren Ausdruecke einbauen und einen anderen und besseren Abgleich einbauen.

Gruss,
Quix0r