Bug #1009

[Security] Bilderupload lässt auch nicht Bilder zu

Added by Rotzbua about 3 years ago. Updated almost 2 years ago.

Status:erledigt% Done:

100%

Priority name:3 hoch
Assignee:following
Target version:Version 3.1.4
Ticket Referenz: Kategorien:bilder

Description

Es können bei der Cachebeschreibung Dateien hochgeladen werden, die keine Bilder sind.

Beispiel:
Dateiendung von Textdatei in .png oder .jpg ändern und Datei hochladen.


Related issues

Related to OC Entwicklung - Bug #21: enlargeit hängt bei nicht existierendem Bild offen

Associated revisions

Revision 721dbd7b
Added by following almost 2 years ago

always validate uploaded images (if imagick is installed); updates #1009

Revision 269be6ad
Added by teiling88 almost 2 years ago

Merge pull request #566 from following5/1009-image-upload-validation

always validate uploaded images (if imagick is installed); updates #1009

History

#1 Updated by following over 2 years ago

  • Private changed from No to Yes

#2 Updated by following almost 2 years ago

  • Kategorien set to bilder

Das praktische Sicherheitsrisiko hier dürfte vernachlässigbar sein, denn JEDER halbwegs gesunde Client, der Bilder von irgendwelchen Websites abruft und darstellt, fängt solche Fälle ab. Entweder ist es ein Bild in korrektem Format und wird dargestellt, oder es erscheint eine Fehlermeldung.

Deswegen ist es auch für Hacker uninteressant, irgendwelchen ausführbaren Code auf Opencaching.de als Bild hochzuladen.

Trotzdem wäre es natürlich schön, wenn nur darstellbare Bilder hochgeladen werden könnten. Bei der letzten Prüfung vor ein paar Jahren gab es ca. 60 Bilder auf Opencaching.de, die der Thumbnail-Generator als defekt markiert hatte; allerdings werden davon nicht alle Logbilder erfasst.

#3 Updated by following almost 2 years ago

  • Related to Bug #21: enlargeit hängt bei nicht existierendem Bild added

#4 Updated by following almost 2 years ago

  • Status changed from neu to in Arbeit
  • Assignee set to following

#5 Updated by following almost 2 years ago

  • Status changed from in Arbeit to im Test
  • Target version set to Version 3.1.4
  • % Done changed from 0 to 90

#6 Updated by following almost 2 years ago

  • Status changed from im Test to erledigt
  • % Done changed from 90 to 100

#7 Updated by following almost 2 years ago

  • Private changed from Yes to No

Also available in: Atom PDF