phpBB Sicherheitslücke

Post by **thomi** » 2003-06-23 10:55

Hallo Admins,

Heise meldet ein Sicherheitslücke im phpBB: http://www.heise.de/newsticker/data/dab-23.06.03-000/.

Einen Workaround gibt es auch. :roll:

Gruss
Thomas

Post by **sascha** » 2003-06-23 11:06

Das hättest du mal lieber an info@rootforum.org schicken sollen, statt im Board zu posten ;).

Desweiteren ist nur MySQL 4 und PostgreSQL betroffen. Außerdem muss register_globals = on gesetzt sein.

Post by **thomi** » 2003-06-23 11:19

Sascha wrote:Das hättest du mal lieber an info@rootforum.org schicken sollen, statt im Board zu posten ;).

Wieso, sind wir hier bei Microsoft, wo Sicherheitslücken geheimgehalten werden sollen? :twisted:

Desweiteren ist nur MySQL 4 und PostgreSQL betroffen. Außerdem muss register_globals = on gesetzt sein.

Die aktuelle Konfiguration ist mir nicht bekannt, daher mein Posting. Ich entnehme mal deiner Antwort, das die Sicherheitslücke im Rootforum nicht besteht.

Followups bitte nach Offtopic posten. Danke.

Post by **dodolin** » 2003-06-23 11:35

Wieso, sind wir hier bei Microsoft, wo Sicherheitslücken geheimgehalten werden sollen?

Nein, natürlich nicht.

Aber ich kann dem Vorgehen durchaus was abgewinnen, wenn man bei Sicherheitslücken zuerst den Hersteller/Betreiber, etc. drauf aufmerksam macht und ihm eine gewisse Frist zum fixen einräumt und es erst danach öffentlich macht. Das machen inzwischen einige, auch große Organisationen so (Apache z.B. manchmal, IIRC) und ich kann daran nichts schlimmes erkennen.

Anyway, ich hatte die Admins intern sogar schon vor deinem Post drauf aufmerksam gemacht und ich denke, sie werden sofern nötig, die entsprechenden Massnahmen einleiten. Trotzdem danke für den Post. Ich finde es immer wieder nett, wenn User hier auch an die Admins denken... :)

Post by **outofbound** » 2003-06-23 11:46

Ã?brigens, der Querry funktioniert nur in Mysql 4.x, das heisst aber nicht, dass
man nicht einen schreiben kann, der auch in Mysql 3.x funktioniert... was
nicht wirklich viel denkarbeit erfordert ;)

Somit muss nur noch register_globals auf "on" sein, damit der Exploit "hot" wird.

Gruss,

Out

Post by **captaincrunch** » 2003-06-23 12:15

Ich kann euch beruhigen, eure Passworte sind sicher : register_globals sind off ... ;)

Post by **outofbound** » 2003-06-23 12:26

re.

Vielleicht könnte man mit einem "gefakten" GET- Request Code in die Apache Logs injecten,
diesen dann mit PHP Ausführen lassen (Da gabs doch noch nen Exploit), um dann die Passwoerter grad selber auszulesen oder die register_globals anzuschalten ;)

Ich hoffe, ihr habt auch Safe Mode an ;)

gruss,

Out ;)

Post by **floschi** » 2003-06-23 13:57

@thomi: Danke für den Hinweis :)

Mittlerweile habe ich die Datei gefixt, wie dort beschrieben.

Post by **Outlaw** » 2003-06-23 15:42

Dort steht was von phpBB2.0.5 (bei phpbb.com), oder sind die alten Versionen auch betroffen ??

Gruß Outi

Post by **floschi** » 2003-06-23 15:48

alle bisherigen Versionen, glaub ich irgendwo gelesen zu haben

Post by **thomi** » 2003-06-23 17:05

Outlaw wrote:Dort steht was von phpBB2.0.5 (bei phpbb.com), oder sind die alten Versionen auch betroffen ??

Ja, alle bis 2.0.5, Zitat heise.de:

Der Sicherheitsspezialist Rick Patel beschreibt in der Mailingliste Full-Disclosure eine Schwachstelle bei der Verarbeitung von Benutzereingaben in der Bulletin-Board-Software phpBB bis Version 2.0.5.

olfi wrote:Mittlerweile habe ich die Datei gefixt, wie dort beschrieben.

Supi, auch wenn es durch register_globals=off nicht sicherheitskritisch war.

RootForum Community

phpBB Sicherheitslücke

phpBB Sicherheitslücke

Re: phpBB Sicherheitslücke

Re: phpBB Sicherheitslücke

Re: phpBB Sicherheitslücke

Re: phpBB Sicherheitslücke

Re: phpBB Sicherheitslücke

Re: phpBB Sicherheitslücke

Re: phpBB Sicherheitslücke

Re: phpBB Sicherheitslücke

Re: phpBB Sicherheitslücke

Re: phpBB Sicherheitslücke