Sicherheitslücke phpBB

SimonWpt · #1 (**permalink**) 08.12.2004, 12:45

Folgendes erreichte mich heute von meinem Provider:

Zitat:

Sehr geehrte Kunden,

in den vergangenen Wochen erreichten uns leider vermehrt E-Mails von zahlreichen Kunden, welche die beliebte Forensoftware phpBB einsetzen, mit der Information, dass ihr Forum gehacked worden war.

Betroffen von der schwerwiegenden Sicherheitslücke, welche den Hackern die Angriffe auf die Forensoftware möglich macht, sind alle Installationen bis einschließlich zur Version 2.0.10!
Sollten Sie daher die Version 2.0.10 oder eine ältere Version der phpBB-Forensoftware auf Ihrem Webhosting-Account im Einsatz haben, so möchten wir Sie bitten, Ihr Forum umgehend auf die aktuelle Version 2.0.11 umzustellen, da die Sicherheitslücke mit der neuen Version 2.0.11 behoben werden konnte!

An der Fußzeile Ihres Forums können Sie übrigens ganz leicht erkennen, welche Version Sie derzeit verwenden.

Um die neue Version der Forensoftware herunterzuladen, klicken Sie bitte einfach auf den folgenden Link:

http://www.phpbb.com/downloads.php

Für nähere Informationen zu dieser Sicherheitslücke klicken Sie bitte auf den nachfolgend aufgeführten Link:

http://www.heise.de/security/news/meldung/53511

Weitere Informationen zur neuen Version von phpBB erhalten Sie natürlich auch über das deutschsprachige Forum zu phpBB:

http://www.phpbb.de/

Wir wünschen Ihnen noch eine erfolgreiche Woche und stehen Ihnen bei Rückfragen selbstverständlich jederzeit gerne zur Verfügung.

Mit freundlichen Grüßen,

Ihr domain)FACTORY Kundenservice

domainfactory GmbH
Oskar-Messter-Straße 33
85737 Ismaning

Tel.: 089 55 266 0
Fax.: 089 55 266 222

support@domainfactory.de
http://www.domainfactory.de

Liebe Grüße

Bertram

FlashJunior · #2 (**permalink**) 08.12.2004, 13:00

... das die das erst jetzt bemerkt haben HAHA!!

SimonWpt · #3 (**permalink**) 08.12.2004, 13:06

Zitat:

Zitat von FlashJunior

... das die das erst jetzt bemerkt haben HAHA!!

Das ist ja kein Provider-Problem und hier läuft die 2.0.6

Liebe Grüße

Bertram

netspy · #4 (**permalink**) 15.12.2004, 22:37

Ein Freund von mir fand gestern seine Seiten in einem ganz neuen Layout wieder, nachdem eine Gruppe Namens C0d3rz auf sein phpBB 2.0.6 aufmerksam geworden war. Wie sich später herausstellte, wurde im letzten Monat auch ca. 80x versucht ein Backdoor auf dem Server einzurichten. Zum Glück hatte sein Account nicht genügend Rechte dafür.

Ich kann allen nur empfehlen, unbedingt auf die 2.0.11 upzudaten oder auf eine andere Boardsoftware (ich nutze bspw. vBulletin) zu wechseln.

Mario

Boris · #5 (**permalink**) 15.12.2004, 23:11

vBulletin kostet aber auch nicht wenig Geld, wogegen phpBB kostenlos ist

netspy · #6 (**permalink**) 15.12.2004, 23:18

Zitat:

Zitat von Adagio

vBulletin kostet aber auch nicht wenig Geld, wogegen phpBB kostenlos ist

Jeder muss selbst entscheiden, ob es ihm das Geld wert ist. Ich habe es bisher aber noch nicht bereut

Mario

hemfrie · #7 (**permalink**) 16.12.2004, 11:36

Von den Sicherheitslücken hab ich auch schon gehört. Es ist z. B. möglich (habs selbst getestet) bei allen PHPBB Versionen bis 2.0.10 über Paramter der Url PHP-Skripte auszuführen.

Möglich ist dies durch einen ziemlich blöden Fehler, da nämlich sämtliche $_GET Variablen nicht urlencodiert werden. Diese Lücke habe ich selbstverständlich behoben.

Ich weiß, dass es sinnvoll währe ein Update auf die Version 2.0.11 zu machen, was allerdings auf Grund starker Modifizierungen hier im Forum nicht mal eben zu bewerkstelligen wäre.

Da es im nächsten Jahr die Version 2.2 geben wird, die vollständig überarbeitet wurde und sich stark von den 2.0.x Versionen unterscheidet, würde es für mich bedeuten, dass ich das Forum ein weiteres Mal mit samt allen Modifizierungen updaten müsste.

Aus diesem Grund möchte ich auf ein 2.0.11 Update verzichten und erst beim Release der 2.2 Version die Forensoftware neu aufsetzen.

Falls Ihr irgendwelche neuen Sicherheitsmängel in der jetzigen Forenversion findet, würde es mich freuen, wenn Ihr mir diese per Mail zusendet.

hemfrie

netspy · #8 (**permalink**) 16.12.2004, 11:44

Hi,

ich nehme mal an, dass du diese Seite kennst und die unten aufgeführten Patches (insbesondere den bei der Suche) schon eingebaut hast.

Mario

hemfrie · #9 (**permalink**) 16.12.2004, 11:55

Danke Dir für den Tip. Ich kenne die meisten Patches aus einzelnen Beiträgen, aber diesen Beitrag mit einer netten Patchsammlung kannte ich noch nicht.

hemfrie

Tapsiturtle · #10 (**permalink**) 22.12.2004, 16:08

http://www.onlinekosten.de/news/artikel/16266

Vielleicht sollte man ein Update des Forums in erwägung ziehen.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
phpBB aktualisieren	Shyne	Serveradministration und serverseitige Scripte	11	10.03.2008 17:00
phpBB 3 stylen	paracelsus	Offtopic	16	16.10.2007 22:46
Sprechende Sicherheitslücke in Vista	kadees	Offtopic	2	02.02.2007 14:02
XHTMLforum (Wechsel von PHPBB zu vBulletin)	hemfrie	Fragen, Konstruktive Kritik, Lob / Bekanntmachungen	247	25.01.2007 23:28
Problem mit PHPBB komplett in CSS	jensr	CSS	17	05.09.2004 23:02