Bug #1009

[Security] Bilderupload lässt auch nicht Bilder zu

Von Rotzbua vor mehr als 2 Jahren hinzugefügt. Vor etwa 1 Jahr aktualisiert.

Status:erledigt% erledigt:

100%

Priorität:3 hoch
Zugewiesen an:following
Zielversion:Version 3.1.4
Ticket Referenz: Kategorien:bilder

Beschreibung

Es können bei der Cachebeschreibung Dateien hochgeladen werden, die keine Bilder sind.

Beispiel:
Dateiendung von Textdatei in .png oder .jpg ändern und Datei hochladen.


Zugehörige Tickets

Beziehung mit OC Entwicklung - Bug #21: enlargeit hängt bei nicht existierendem Bild offen

Zugehörige Revisionen

Revision 721dbd7b
Von following vor mehr als 1 Jahr hinzugefügt

always validate uploaded images (if imagick is installed); updates #1009

Revision 269be6ad
Von teiling88 vor mehr als 1 Jahr hinzugefügt

Merge pull request #566 from following5/1009-image-upload-validation

always validate uploaded images (if imagick is installed); updates #1009

Historie

#1 Von following vor fast 2 Jahren aktualisiert

  • Privat wurde von Nein zu Ja geändert

#2 Von following vor mehr als 1 Jahr aktualisiert

  • Kategorien wurde auf bilder gesetzt

Das praktische Sicherheitsrisiko hier dürfte vernachlässigbar sein, denn JEDER halbwegs gesunde Client, der Bilder von irgendwelchen Websites abruft und darstellt, fängt solche Fälle ab. Entweder ist es ein Bild in korrektem Format und wird dargestellt, oder es erscheint eine Fehlermeldung.

Deswegen ist es auch für Hacker uninteressant, irgendwelchen ausführbaren Code auf Opencaching.de als Bild hochzuladen.

Trotzdem wäre es natürlich schön, wenn nur darstellbare Bilder hochgeladen werden könnten. Bei der letzten Prüfung vor ein paar Jahren gab es ca. 60 Bilder auf Opencaching.de, die der Thumbnail-Generator als defekt markiert hatte; allerdings werden davon nicht alle Logbilder erfasst.

#3 Von following vor mehr als 1 Jahr aktualisiert

  • Beziehung mit Bug #21: enlargeit hängt bei nicht existierendem Bild wurde hinzugefügt

#4 Von following vor mehr als 1 Jahr aktualisiert

  • Status wurde von neu zu in Arbeit geändert
  • Zugewiesen an wurde auf following gesetzt

#5 Von following vor mehr als 1 Jahr aktualisiert

  • Status wurde von in Arbeit zu im Test geändert
  • Zielversion wurde auf Version 3.1.4 gesetzt
  • % erledigt wurde von 0 zu 90 geändert

#6 Von following vor mehr als 1 Jahr aktualisiert

  • Status wurde von im Test zu erledigt geändert
  • % erledigt wurde von 90 zu 100 geändert

#7 Von following vor etwa 1 Jahr aktualisiert

  • Privat wurde von Ja zu Nein geändert

Auch abrufbar als: Atom PDF