XHTMLforum

XHTMLforum (http://xhtmlforum.de/index.php)
-   Offtopic (http://xhtmlforum.de/forumdisplay.php?f=75)
-   -   Sicherheitslücke phpBB (http://xhtmlforum.de/showthread.php?t=33840)

SimonWpt 08.12.2004 12:45

Sicherheitslücke phpBB
 
Folgendes erreichte mich heute von meinem Provider:

Zitat:

Sehr geehrte Kunden,

in den vergangenen Wochen erreichten uns leider vermehrt E-Mails von zahlreichen Kunden, welche die beliebte Forensoftware phpBB einsetzen, mit der Information, dass ihr Forum gehacked worden war.

Betroffen von der schwerwiegenden Sicherheitslücke, welche den Hackern die Angriffe auf die Forensoftware möglich macht, sind alle Installationen bis einschließlich zur Version 2.0.10!
Sollten Sie daher die Version 2.0.10 oder eine ältere Version der phpBB-Forensoftware auf Ihrem Webhosting-Account im Einsatz haben, so möchten wir Sie bitten, Ihr Forum umgehend auf die aktuelle Version 2.0.11 umzustellen, da die Sicherheitslücke mit der neuen Version 2.0.11 behoben werden konnte!

An der Fußzeile Ihres Forums können Sie übrigens ganz leicht erkennen, welche Version Sie derzeit verwenden.

Um die neue Version der Forensoftware herunterzuladen, klicken Sie bitte einfach auf den folgenden Link:

http://www.phpbb.com/downloads.php

Für nähere Informationen zu dieser Sicherheitslücke klicken Sie bitte auf den nachfolgend aufgeführten Link:

http://www.heise.de/security/news/meldung/53511

Weitere Informationen zur neuen Version von phpBB erhalten Sie natürlich auch über das deutschsprachige Forum zu phpBB:

http://www.phpbb.de/


Wir wünschen Ihnen noch eine erfolgreiche Woche und stehen Ihnen bei Rückfragen selbstverständlich jederzeit gerne zur Verfügung.

Mit freundlichen Grüßen,

Ihr domain)FACTORY Kundenservice

domainfactory GmbH
Oskar-Messter-Straße 33
85737 Ismaning

Tel.: 089 55 266 0
Fax.: 089 55 266 222

support@domainfactory.de
http://www.domainfactory.de
Liebe Grüße


Bertram

FlashJunior 08.12.2004 13:00

;) ... das die das erst jetzt bemerkt haben HAHA!!

SimonWpt 08.12.2004 13:06

Liste der Anhänge anzeigen (Anzahl: 1)
Zitat:

Zitat von FlashJunior
;) ... das die das erst jetzt bemerkt haben HAHA!!

Das ist ja kein Provider-Problem und hier läuft die 2.0.6


Liebe Grüße


Bertram

netspy 15.12.2004 22:37

Ein Freund von mir fand gestern seine Seiten in einem ganz neuen Layout wieder, nachdem eine Gruppe Namens C0d3rz auf sein phpBB 2.0.6 aufmerksam geworden war. Wie sich später herausstellte, wurde im letzten Monat auch ca. 80x versucht ein Backdoor auf dem Server einzurichten. Zum Glück hatte sein Account nicht genügend Rechte dafür.

Ich kann allen nur empfehlen, unbedingt auf die 2.0.11 upzudaten oder auf eine andere Boardsoftware (ich nutze bspw. vBulletin) zu wechseln.

Mario

Boris 15.12.2004 23:11

vBulletin kostet aber auch nicht wenig Geld, wogegen phpBB kostenlos ist ;)

netspy 15.12.2004 23:18

Zitat:

Zitat von Adagio
vBulletin kostet aber auch nicht wenig Geld, wogegen phpBB kostenlos ist ;)

Jeder muss selbst entscheiden, ob es ihm das Geld wert ist. Ich habe es bisher aber noch nicht bereut :D

Mario

hemfrie 16.12.2004 11:36

Von den Sicherheitslücken hab ich auch schon gehört. Es ist z. B. möglich (habs selbst getestet) bei allen PHPBB Versionen bis 2.0.10 über Paramter der Url PHP-Skripte auszuführen.

Möglich ist dies durch einen ziemlich blöden Fehler, da nämlich sämtliche $_GET Variablen nicht urlencodiert werden. Diese Lücke habe ich selbstverständlich behoben.

Ich weiß, dass es sinnvoll währe ein Update auf die Version 2.0.11 zu machen, was allerdings auf Grund starker Modifizierungen hier im Forum nicht mal eben zu bewerkstelligen wäre.

Da es im nächsten Jahr die Version 2.2 geben wird, die vollständig überarbeitet wurde und sich stark von den 2.0.x Versionen unterscheidet, würde es für mich bedeuten, dass ich das Forum ein weiteres Mal mit samt allen Modifizierungen updaten müsste.

Aus diesem Grund möchte ich auf ein 2.0.11 Update verzichten und erst beim Release der 2.2 Version die Forensoftware neu aufsetzen.

Falls Ihr irgendwelche neuen Sicherheitsmängel in der jetzigen Forenversion findet, würde es mich freuen, wenn Ihr mir diese per Mail zusendet.

:)
hemfrie

netspy 16.12.2004 11:44

Hi,

ich nehme mal an, dass du diese Seite kennst und die unten aufgeführten Patches (insbesondere den bei der Suche) schon eingebaut hast.

Mario

hemfrie 16.12.2004 11:55

Danke Dir für den Tip. Ich kenne die meisten Patches aus einzelnen Beiträgen, aber diesen Beitrag mit einer netten Patchsammlung kannte ich noch nicht.

:)
hemfrie

Tapsiturtle 22.12.2004 16:08

http://www.onlinekosten.de/news/artikel/16266

Vielleicht sollte man ein Update des Forums in erwägung ziehen. ;)


Alle Zeitangaben in WEZ +2. Es ist jetzt 04:57 Uhr.

Powered by vBulletin® Version 3.8.11 (Deutsch)
Copyright ©2000 - 2019, vBulletin Solutions, Inc.

© Dirk H. 2003 - 2019