Liebe User,
wir mussten heute mittag feststellen, dass sich jemand den aktuellsten phpBB-Bug (http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=182281) zu nutze gemacht hat und mittels mehrerer manipulierter Abfragen kurzzeitig Adminstatus erhalten konnte.
In dieser Zeit hat sich der User, der über einen Anonymen-Proxy in den USA unterwegs war, allem Anschein nach einen kompletten Dump der Datenbank downloaden können, also inklusive aller persönlichen Daten, die nun in Händen eines unbefugten Dritten sind. Als Gag nebenbei konnte er mit seinen Rechten die Forentitel, den Boardtitel, die E-Mail-Signatur und weitere Kleinigkeiten ändern.
Es ist ausschließlich das Forum betroffen, nicht die Server dahinter.
Die bekannten bestehenden Zugänge konnten wir mittlerweile fixen, ebenso der Grund, warum überhaupt diese Möglichkeit bestand. Gegen ähnliche Vorgehensweisen werden in absehbarer Zukunft Maßnahmen ergriffen, um solche Dinge bereits im Vorfeld "abfangen" zu können.
Als Konsequenz können wir euch nur auffordern, eure Passwörter zu ändern, auch wenn er damit nicht viel anfangen kann.
Wir werden euch weiterhin auf dem Laufenden halten.
Viele Grüße
Euer RootForum-Team
PS: Zu der Tatsache, dass jemand einem Freizeit-Open-Source-Projekt wie uns durch soetwas gezielt Schaden zufügen will, sage ich nichts. derjenige wird schon wissen, was das soll.
[Info] Veränderung der Datenbank
[Info] Veränderung der Datenbank
Last edited by floschi on 2004-05-30 09:41, edited 1 time in total.
Re: [Info] Veränderung der Datenbank
[Update]
Mittlerweile konnten wir nachvollziehen, dass erste "Gehversuche" damit bereits vor einigen Tagen stattfanden, d.h. dieser Bug wurde bereits genutzt, bevor er bekannt und gefixt wurde.
Mittlerweile konnten wir nachvollziehen, dass erste "Gehversuche" damit bereits vor einigen Tagen stattfanden, d.h. dieser Bug wurde bereits genutzt, bevor er bekannt und gefixt wurde.