[FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Rund um die Sicherheit des Systems und die Applikationen
superuser1
Posts: 291
Joined: 2003-11-26 18:43
Location: earth
 

[FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by superuser1 »

rudi
Posts: 69
Joined: 2004-12-08 19:10
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by rudi »

Gibt es eine Möglichkeit da serverseitig etwas zu machen?
Sprich Apache absichern oder so
andreask2
Posts: 696
Joined: 2004-01-27 14:16
Location: Aachen
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by andreask2 »

Update einspielen, nach Möglichkeit sowas nicht verwenden. Eine gute Alternative zu phpbb ist das FUDforum von Ilia Alshanetsky.
bungeebug
Posts: 187
Joined: 2004-04-14 10:08
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by bungeebug »

fud forum .... sehr geiles ding, kann ich nur empfehlen.
root-maxel
Posts: 43
Joined: 2003-05-08 13:18
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by root-maxel »

andreask2 wrote:Update einspielen, nach Möglichkeit sowas nicht verwenden. Eine gute Alternative zu phpbb ist das FUDforum von Ilia Alshanetsky.
Meint eine gute Alternative auch das das sicherer ist? Dann würd ich echt drüber nachdenken...
andreask2
Posts: 696
Joined: 2004-01-27 14:16
Location: Aachen
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by andreask2 »

Das kann Dir niemand garantieren. Die Vergangenheit hat nur gezeigt, dass phpbb wirklich sehr viele Lücken enthält. Ilia Alshanetsky ist Release-Manager des 4.3er Branches von PHP - also jemand der wirklich ein bisschen Ahnung von der Materie hat.
a-n
Posts: 145
Joined: 2004-05-10 10:15
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by a-n »

Gibt es auch eine alternative vom Linux Kernel :roll: :lol:

Sorry musste sein :-)
Roger Wilco
Posts: 5923
Joined: 2004-05-23 12:53
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by Roger Wilco »

A-N wrote:Gibt es auch eine alternative vom Linux Kernel :roll: :lol:
Hurd/Hurd L4/FreeBSD/OpenBSD/NetBSD/Win32 ;)
User avatar
Joe User
Project Manager
Project Manager
Posts: 11183
Joined: 2003-02-27 01:00
Location: Hamburg
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by Joe User »

andreask2 wrote:Die Vergangenheit hat nur gezeigt, dass phpbb wirklich sehr viele Lücken enthält.
Du vergisst das "Windows-Prinzip": Je populärer eine Software ist, desto interessanter ist sie für Cracker. Daraus folgt zwangsläufig eine höhere Zahl gefundener Bugs und darauf aufsetzender Exploits.
andreask2 wrote:Ilia Alshanetsky ist Release-Manager des 4.3er Branches von PHP - also jemand der wirklich ein bisschen Ahnung von der Materie hat.
Security by Obscurity...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
andreask2
Posts: 696
Joined: 2004-01-27 14:16
Location: Aachen
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by andreask2 »

Joe User wrote:Du vergisst das "Windows-Prinzip": Je populärer eine Software ist, desto interessanter ist sie für Cracker. Daraus folgt zwangsläufig eine höhere Zahl gefundener Bugs und darauf aufsetzender Exploits.
Schon, aber ob das alleine die vielen Lücken auch in letzter Zeit erklärt? Wenn ich mir Exploits für phpbb angucke, denke ich mir sehr oft - "wie bitte kommt man auf die Idee sowas zu programmieren...".

Abgesehen davon bin ich mir nicht sicher, ob phpbb überhaupt so viel öfter installiert ist als andere Boards.
Joe User wrote:
andreask2 wrote:Ilia Alshanetsky ist Release-Manager des 4.3er Branches von PHP - also jemand der wirklich ein bisschen Ahnung von der Materie hat.
Security by Obscurity...
Eher das Gegenteil - würde ich meinen. Ist dasselbe ob jemand Dir den Root-Server einrichtet, der Ahnung davon hat - oder eben nicht.

PS: Gentoo hat phpbb aufgrund der vielen Probleme inzwischen aus Portage entfernt: http://www.gentoo.org/security/en/glsa/ ... 507-03.xml
mausgreck
Posts: 84
Joined: 2005-03-19 17:22
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by mausgreck »

Joe User wrote:Du vergisst das "Windows-Prinzip": Je populärer eine Software ist, desto interessanter ist sie für Cracker. Daraus folgt zwangsläufig eine höhere Zahl gefundener Bugs und darauf aufsetzender Exploits.
Es gibt auch Leute, die nicht programmieren können. Und es gibt Programmierumgebungen, die inherent unsicher sind. PHP gehört IMHO zu dieser Kategorie.

Ich kenne allerdings phpbb nicht, also kann ich mir kein Urteil erlauben...
andreask2
Posts: 696
Joined: 2004-01-27 14:16
Location: Aachen
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by andreask2 »

mausgreck wrote:Es gibt auch Leute, die nicht programmieren können. Und es gibt Programmierumgebungen, die inherent unsicher sind. PHP gehört IMHO zu dieser Kategorie.
Ich würde PHP nicht unbedingt als "inherent unsicher" bezeichnen. Allerdings macht es PHP den Programmierer sehr einfach schlechten und unsicheren Code zu schreiben. Dagegen helfen nur gute Programmierkenntnisse und viel Erfahrung. Und das spreche ich einigen PHP-Projekten ab.
mausgreck
Posts: 84
Joined: 2005-03-19 17:22
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by mausgreck »

andreask2 wrote:Ich würde PHP nicht unbedingt als "inherent unsicher" bezeichnen. Allerdings macht es PHP den Programmierer sehr einfach schlechten und unsicheren Code zu schreiben. Dagegen helfen nur gute Programmierkenntnisse und viel Erfahrung. Und das spreche ich einigen PHP-Projekten ab.
Ich finde PHP ist eine zu dünne Schicht über dem Webserver für die meisten Applikationen, für die es verwendet wird. Da braucht es einen ordentlichen Application-Server, der sich um Persistenz, Templates und so weiter kümmert. Wenn ich mir die SQL-Verrenkungen in einem typischen PHP-Projekt ansehe, wird mir übel.

PHP ist super für eine Website mit ein paar dynamischen Elementen, aber nicht für eine Applikation. (IMHO natürlich :wink:)
legato
Posts: 115
Joined: 2004-06-03 12:40
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by legato »

hoppla - bin irgendwie im flaschen thread gelandet 8O
Last edited by legato on 2005-07-20 08:52, edited 1 time in total.
User avatar
Joe User
Project Manager
Project Manager
Posts: 11183
Joined: 2003-02-27 01:00
Location: Hamburg
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by Joe User »

andreask2 wrote:
Joe User wrote:Du vergisst das "Windows-Prinzip": Je populärer eine Software ist, desto interessanter ist sie für Cracker. Daraus folgt zwangsläufig eine höhere Zahl gefundener Bugs und darauf aufsetzender Exploits.
Schon, aber ob das alleine die vielen Lücken auch in letzter Zeit erklärt?
Wenn man bedenkt, dass phpBB2 mit 3 PHP-Versionen (PHP3/PHP4/PHP5) kompatibel und mitlerweile 3 Jahre alt ist und in diesen 3 Jahren lediglich 17 Security-Updates vorgenommen werden mussten, so spricht dies wohl eher für phpBB, als dagegen. Es mag ja durchaus ärgerlich sein, dass 7 dieser Security-Updates innerhalb des letzten Jahres erschienen sind und zudem das 16te hätte vermieden werden können, andererseits konnten alle Updates selbst von "Otto Normal" in weniger als 2 Minuten durchgeführt werden. Vergleiche diese Zahlen mal mit PHP selbst...
andreask2 wrote:Wenn ich mir Exploits für phpbb angucke, denke ich mir sehr oft - "wie bitte kommt man auf die Idee sowas zu programmieren...".
Es hält Dich Niemand davon ab, phpBB einem weiteren Codereview zu unterziehen, oder ein ebenso komplexes und gleichzeitig sichereres Board zu entwickeln.
andreask2 wrote:Abgesehen davon bin ich mir nicht sicher, ob phpbb überhaupt so viel öfter installiert ist als andere Boards.
phpBB, vB und IPB sind die 3 am häufigsten installierten Boards, wobei das mit Abstand umfangreichste Board auf phpBB setzt.
andreask2 wrote:PS: Gentoo hat phpbb aufgrund der vielen Probleme inzwischen aus Portage entfernt: http://www.gentoo.org/security/en/glsa/ ... 507-03.xml
Es wurde nicht entfernt, sondern vorübergehend (bis 2.0.1[78]) maskiert...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
mausgreck
Posts: 84
Joined: 2005-03-19 17:22
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by mausgreck »

Komplex hin oder her, es handelt sich um ein *Forum*, keinen Webserver, kein Betriebssystem und keine Datenbank, das nochdazu in einer Skriptsprache programmiert wurde. Da gibt es kein Locking, kein Resourcemanagement, keine Bufferoverflows. Also ich finde 17 Security-Updates in 3 Jahren eher beunruhigend.
chaosad
Posts: 137
Joined: 2005-05-06 15:48
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by chaosad »

zwingt dich ja auch keiner es zu verwenden ;) update ist übrigens raus
mausgreck
Posts: 84
Joined: 2005-03-19 17:22
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by mausgreck »

chaosad wrote:zwingt dich ja auch keiner es zu verwenden
Todschlagargument #75.
Ich verwende sowieso kein php, aber meine User tun's... :P
chaosad
Posts: 137
Joined: 2005-05-06 15:48
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by chaosad »

Was soll man dir denn sonst raten? Ist ja nicht so das diese Fehler nicht behoben werden.
mausgreck
Posts: 84
Joined: 2005-03-19 17:22
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by mausgreck »

chaosad wrote:Was soll man dir denn sonst raten?
Nichts - ich habe nicht um Rat gebeten... Aber diskutieren wird man ja wohl noch dürfen...
chaosad
Posts: 137
Joined: 2005-05-06 15:48
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by chaosad »

klar, aber dann darfst auch nicht mit Todschlagargument kommen...denn ich seh da auch nicht viel Sinn hier groß rumzudiskutieren. Entwedern man verwendet es und spielt halt die updates ein oder man sucht sich ne Alternative. Sehr viel mehr Möglichkeiten gibts nicht.
andreask2
Posts: 696
Joined: 2004-01-27 14:16
Location: Aachen
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by andreask2 »

Joe User wrote:Es hält Dich Niemand davon ab, phpBB einem weiteren Codereview zu unterziehen, oder ein ebenso komplexes und gleichzeitig sichereres Board zu entwickeln.
1. brauche ich kein Board
2. gibt es gute Alternativen (FUDforum oder eher das Classic Forum, wenns denn ein "richtiges Forum" sein darf ;-))
Joe User wrote:
andreask2 wrote:PS: Gentoo hat phpbb aufgrund der vielen Probleme inzwischen aus Portage entfernt: http://www.gentoo.org/security/en/glsa/ ... 507-03.xml
Es wurde nicht entfernt, sondern vorübergehend (bis 2.0.1[78]) maskiert...
Ok, das einzige was ich hierzu weiß stand im genannten GLSA:
GLSA 200507-03 / phpBB wrote: The phpBB package is no longer supported by Gentoo Linux and has been removed from the Portage repository, no further announcements will be issued regarding phpBB updates. Users who wish to continue using phpBB are advised to monitor and refer to http://www.phpbb.com for more information.

PS: http://www.heise.de/newsticker/meldung/61871
User avatar
Joe User
Project Manager
Project Manager
Posts: 11183
Joined: 2003-02-27 01:00
Location: Hamburg
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by Joe User »

<OT>
andreask2 wrote:2. gibt es gute Alternativen (FUDforum oder eher das Classic Forum, wenns denn ein "richtiges Forum" sein darf ;-))
Das FUDforum ist nicht PHP3 kompatibel und zumindest das Testforum des cforum enthält unentschuldbare Fehler im Output (zum Beispiel die Leerzeile vor der DTD), obwohl es ursprünglich für das SelfHTML-Projekt entwickelt wurde. Ja, auch das phpBB2-Template enthält einige HTML-Fehler, aber keine solch eklatanten...

</OT>
Da ich (nicht nur) auf phpbb.com auch zwischen den Zeilen mitlese, weiss ich schon seit einigen Wochen von dem (bereits laufenden) Audit ;)
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
andreask2
Posts: 696
Joined: 2004-01-27 14:16
Location: Aachen
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by andreask2 »

Joe User wrote:Das FUDforum ist nicht PHP3 kompatibel
Gut - wenn man das braucht. Wäre zumindest für mich kein Argument ;-)
Joe User wrote:und zumindest das Testforum des cforum enthält unentschuldbare Fehler im Output (zum Beispiel die Leerzeile vor der DTD), obwohl es ursprünglich für das SelfHTML-Projekt entwickelt wurde.
Was ist daran falsch? Zumindest der w3c validator und tidy geben weder Fehler noch Warnungen aus. AFAIK muss nur <?xml in der ersten Zeile stehen, und dann ist es bei XML doch egal was für Whitespace-Zeichen zwischen den Elementen stehen, oder?
User avatar
Joe User
Project Manager
Project Manager
Posts: 11183
Joined: 2003-02-27 01:00
Location: Hamburg
 

Re: [FYI] Erneute Angriffe auf PHP-Software / phpBB 2.0.16

Post by Joe User »

andreask2 wrote:PS: Gentoo hat phpbb aufgrund der vielen Probleme inzwischen aus Portage entfernt: http://www.gentoo.org/security/en/glsa/ ... 507-03.xml
http://packages.gentoo.org/packages/?ca ... name=phpBB
Maskiert, aber nach wie vor vorhanden...
andreask2 wrote:
Joe User wrote:Das FUDforum ist nicht PHP3 kompatibel
Gut - wenn man das braucht. Wäre zumindest für mich kein Argument ;-)
Wenn Du Alternativen zu phpBB2 aufzeigen möchtest, solltest Du auch auf die Mindestvoraussetzungen achten. Desweiteren sind ein paar der phpBB2-Updates, zumindest indirekt, auf die Kompatibilität zu PHP <4.2.2 und Eines gar direkt auf eine erst in PHP-4.3.10 gefixte Sicherheitslücke zurückzuführen. Ebenfalls zu beachten ist die Tatsache, dass einige (IIRC mindestens 3) Bugs nicht nur phpBB2, sondern gleichermassen auch seine Mitbewerber betraf...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.