Bug #1009

[Security] Bilderupload lässt auch nicht Bilder zu

Von Rotzbua vor etwa 2 Jahren hinzugefügt. Vor 12 Monaten aktualisiert.

Status:erledigt% erledigt:

100%

Priorität:3 hoch
Zugewiesen an:following
Zielversion:Version 3.1.4
Ticket Referenz: Kategorien:bilder

Beschreibung

Es können bei der Cachebeschreibung Dateien hochgeladen werden, die keine Bilder sind.

Beispiel:
Dateiendung von Textdatei in .png oder .jpg ändern und Datei hochladen.


Zugehörige Tickets

Beziehung mit OC Entwicklung - Bug #21: enlargeit hängt bei nicht existierendem Bild offen

Zugehörige Revisionen

Revision 721dbd7b
Von following vor etwa 1 Jahr hinzugefügt

always validate uploaded images (if imagick is installed); updates #1009

Revision 269be6ad
Von teiling88 vor etwa 1 Jahr hinzugefügt

Merge pull request #566 from following5/1009-image-upload-validation

always validate uploaded images (if imagick is installed); updates #1009

Historie

#1 Von following vor mehr als 1 Jahr aktualisiert

  • Privat wurde von Nein zu Ja geändert

#2 Von following vor etwa 1 Jahr aktualisiert

  • Kategorien wurde auf bilder gesetzt

Das praktische Sicherheitsrisiko hier dürfte vernachlässigbar sein, denn JEDER halbwegs gesunde Client, der Bilder von irgendwelchen Websites abruft und darstellt, fängt solche Fälle ab. Entweder ist es ein Bild in korrektem Format und wird dargestellt, oder es erscheint eine Fehlermeldung.

Deswegen ist es auch für Hacker uninteressant, irgendwelchen ausführbaren Code auf Opencaching.de als Bild hochzuladen.

Trotzdem wäre es natürlich schön, wenn nur darstellbare Bilder hochgeladen werden könnten. Bei der letzten Prüfung vor ein paar Jahren gab es ca. 60 Bilder auf Opencaching.de, die der Thumbnail-Generator als defekt markiert hatte; allerdings werden davon nicht alle Logbilder erfasst.

#3 Von following vor etwa 1 Jahr aktualisiert

  • Beziehung mit Bug #21: enlargeit hängt bei nicht existierendem Bild wurde hinzugefügt

#4 Von following vor etwa 1 Jahr aktualisiert

  • Status wurde von neu zu in Arbeit geändert
  • Zugewiesen an wurde auf following gesetzt

#5 Von following vor etwa 1 Jahr aktualisiert

  • Status wurde von in Arbeit zu im Test geändert
  • Zielversion wurde auf Version 3.1.4 gesetzt
  • % erledigt wurde von 0 zu 90 geändert

#6 Von following vor etwa 1 Jahr aktualisiert

  • Status wurde von im Test zu erledigt geändert
  • % erledigt wurde von 90 zu 100 geändert

#7 Von following vor 12 Monaten aktualisiert

  • Privat wurde von Ja zu Nein geändert

Auch abrufbar als: Atom PDF