| |
|
| Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
| Autor |
Nachricht |
Jimmy2k
Newbie
Anmeldungsdatum: 14.02.2005
Beiträge: 25
|
 Verfasst am: 11.Jul 2005 16:03 Titel: Hoster raten den Einsatz von phpBB ab |
 |
|
| Zitat: |
Aufgrund von wiederholten Sicherheitsproblemen der kostenlosen Boardsoftware phpBB raten viele Hoster den Einsatz von phpBB ab. Durch diese Risiken gab es in letzter Zeit Angriffe auf die Software. Im Dezember zum Beispiel hatte der Wurm Santy diverse Webseiten verunstaltet.
Die Entwickler aber weisen die Warnungen der einzelnen Hoster zurück, denn immer hat man sich sofort den Problemen der Boardsoftware angenommen und man war immer bemüht diese so schnell wie möglich durch ein Update zu beseitigen. Außerdem gibt es auch noch andere Ursachen, wenn der Server zusammen bricht, so die phpBB Entwickler.
Aber anscheinend reicht das dem Hoster HostPC nicht aus und warnt seine Kunden vor dem Einsatz der Boardsoftware.
| Code: |
Quelle: [url]http://www.webmasterpro.de/content_news-8477.php[/url] |
|
|
|
| Nach oben |
|
|
Lutz Spilker
* Consulter *
Anmeldungsdatum: 04.05.2004
Beiträge: 1432
Wohnort: Nürnberg
|
| Verfasst am: 11.Jul 2005 18:01 Titel: |
|
|
Hallo,
ich möchte das mal mit einer Metapher kommentieren dürfen:
Beton. Es kommt darauf an, was man daraus macht.
Dieses Board ist ein vielerlei Hinsichten modifiziert worden und steht an-
ders auf dem Server, als die rudimentäre Downloadversion.
Auch was die Sicherheit angeht, schließt es die Lücken, welche für .../...
interessant wären.  |
|
| Nach oben |
|
|
Corax
Specialist
Anmeldungsdatum: 03.08.2004
Beiträge: 247
Wohnort: Hannover
|
| Verfasst am: 12.Jul 2005 1:06 Titel: |
|
|
Hierzu eine Sicherheitsmeldung!
04.07.2005 Mcert-2005-0201/1
Schwachstelle in phpBB Foren-Software
Art der Meldung
Sicherheitshinweis
Risiko
Schadenspotential
Eintrittspotential
Art der Empfehlung
Aktualisierung
Kategorie
Sicherheitslücke
Voraussetzung
Zugriff auf die phpBB Webseiten
Systeme
Sonstige Online-Dienste, Sonstige Server
Betroffene Systeme (Detail)
phpBB Version 2.0.15 und frühere Versionen
Empfehlung
Der Hersteller hat eine neue Version herausgegeben, die diesen Fehler behebt. Bitte installieren sie die aktuelle Version 2.0.16:
http://www.phpbb.com/downloads.php
Weitere Empfehlung
Alternativ wird vom Hersteller unter folgendem Link auch eine Behelfsmaßnahme angeboten:
http://www.phpbb.com/phpBB/viewtopic.php?t=302011
Beschreibung
phpBB ist eine Open Source Software, mit der sich im Web Diskussions-Foren erstellen und betreiben lassen.
Eine Schwachstelle in der Software kann unter Umständen dazu führen, dass ein Angreifer aus dem Internet erweiterten Zugriff auf das Forum und den zugehörigen Web Server erhält.
Ein Angriffsprogramm welches die Schwachstelle ausnützt ist vorhanden.
Weitere Beschreibung
Die behobene Sicherheitslücke weist Ähnlichkeiten zu einer älteren Schwachstelle auf, die in phpBB 2.0.11. unzureichend behoben wurde. Sehen Sie hierzu auch die zugehörige Mcert Meldung:
https://www.mcert.de/mcertuser/content/meldungen/meldun
gen_details.aspx?msg_nr=Mcert-2004-0247
Die Schwachstelle beruht auf der Datei "viewtopic.php". Hier kann es vorkommen, dass Eingaben des "highlight" - Parameters nicht richtig gefiltert werden, bevor sie an die Methode preg_replace() weitergeleitet werden. Diese Schwäche kann von einem entfernten Angreifer ausgenutzt werden um beliebige PHP Befehle mit den Rechten des Web-Servers auszuführen.
Ein Exploit für diese Schwachtstelle ist vorhanden.
Lieferant der Originalinformation:
dcert-2005-370
Originalinformation:
FrSIRT Advisory FrSIRT/ADV-2005-0904 vom 28.6.2005:
http://www.frsirt.com/english/advisories/2005/0904
Secunia Advisory vom 29.6.2005:
http://secunia.com/advisories/15845/
FrSIRT Exploit vom 1.7.2005:
http://www.frsirt.com/exploits/20050701.phpbb2015.py.ph
p
phpbb announcement von Acyd Burn vom 27.6.2005:
http://www.phpbb.com/phpBB/viewtopic.php?t=302011 |
|
| Nach oben |
|
|
Jimmy2k
Newbie
Anmeldungsdatum: 14.02.2005
Beiträge: 25
|
| Verfasst am: 12.Jul 2005 1:16 Titel: |
|
|
| Lutz Spilker hat folgendes geschrieben:: |
Hallo,
ich möchte das mal mit einer Metapher kommentieren dürfen:
Beton. Es kommt darauf an, was man daraus macht.
Dieses Board ist ein vielerlei Hinsichten modifiziert worden und steht an-
ders auf dem Server, als die rudimentäre Downloadversion.
Auch was die Sicherheit angeht, schließt es die Lücken, welche für .../...
interessant wären. |
Da haben Sie recht! |
|
| Nach oben |
|
|
cash-flow
Specialist
Anmeldungsdatum: 29.06.2005
Beiträge: 90
|
| Verfasst am: 12.Jul 2005 21:50 Titel: |
|
|
Nicht nur Hoster raten von phpBB ab...
Die Exploits, Bugs, Vulnerabilities und SQL-Injections sind einfach zu häufig und auch zu einfach.
Desgleichen zZt wohl auch bei WBB (Woltlab).
Allerdings ist selbst IPB nicht vor Sciherheitslücken sicher, aber wohl immer noch am besten gepatched. |
|
| Nach oben |
|
|
Lutz Spilker
* Consulter *
Anmeldungsdatum: 04.05.2004
Beiträge: 1432
Wohnort: Nürnberg
|
| Verfasst am: 12.Jul 2005 22:10 Titel: |
|
|
@ cash-flow, @ Thread,
| cash-flow hat folgendes geschrieben:: |
Nicht nur Hoster raten von phpBB ab...
Die Exploits, Bugs, Vulnerabilities und SQL-Injections sind einfach zu häufig und auch zu einfach.
Desgleichen zZt wohl auch bei WBB (Woltlab).
Allerdings ist selbst IPB nicht vor Sciherheitslücken sicher, aber wohl immer noch am besten gepatched. |
Das klingt ja alles sehr toll und der Laie steht vor der Frage, welchen
schmerzlosen Suizid er nun wählen soll, aber jene, die mit Foren eigene
Erfahrungen machten, sollten evtl. auch einmal zu Worte kommen, anstatt
irgend welchen Ticker-Content kritiklos zu posten.
Beim Stichwort 'Vulnerabilities und SQL-Injections' lenke ich ein, da liegen
tatsächlich einige Breschen offen. Mit einer seit einem halben Jahr im Netz
kursierenden Software* ist es bei div. Boards möglich, sehr großen Scha-
den anzurichten, mehr soll dazu nicht erwähnt werden.
Ansonsten bitte ich die Dinge etwas pragmatischer zu betrachten, füllten
sie doch sonst die Gazetten im Stil von:
- Rückholaktion bei soundso
- Frischhaltedatumsbetrug von Frischfleisch bei diesundjenem
- Herr Kaiser heisst eigentlich Müller
- usw.
Die Verunsicherung der User auf diesem Wege kann nicht das Ziel sein.
---
*= Anfragen dsbzgl. werden ignoriert. |
|
| Nach oben |
|
|
cash-flow
Specialist
Anmeldungsdatum: 29.06.2005
Beiträge: 90
|
| Verfasst am: 12.Jul 2005 23:04 Titel: |
|
|
| Lutz Spilker hat folgendes geschrieben:: |
@ cash-flow, @ Thread,
... und der Laie steht vor der Frage, welchen schmerzlosen Suizid er nun wählen soll...
... aber jene, die mit Foren eigene Erfahrungen machten, sollten evtl. auch einmal zu Worte kommen, anstatt irgend welchen Ticker-Content kritiklos zu posten.
Mit einer seit einem halben Jahr im Netz kursierenden Software* ist es bei div. Boards möglich, sehr großen Schaden anzurichten |
Guter Post, Lutz Spilker.
Ich war nach den Posts von Jimmy2k, Corax und Ihnen davon ausgegangen, dass hier keine Laien gepostet haben.
Meine Erfahrungen hab ich mit IPB (sämtliche Versionen) und WBB. Die anderen Software's nur als User oder Leser von Securityissues.
Persönlich bevorzuge ich IPB 1.3 final mit "interessanten" kleinen Änderungen.
Auch wenn Jimmy irgendeine Newsmessage gepostet hat - ich habe mich das neulich hier auch gefragt, gerade bei der Aktualität der phpBB- Anfälligkeiten.
Schade, dass Sie bzgl der Software nicht zur Verfügung stehen. Hinsichtlich der in letzter Zeit vermehrt durch Script-Kiddies auftretenden Board-Hacks wundert es mich jetzt nun nicht mehr, woher die ihr "Wissen" haben.
Beste Grüsse |
|
| Nach oben |
|
|
Lutz Spilker
* Consulter *
Anmeldungsdatum: 04.05.2004
Beiträge: 1432
Wohnort: Nürnberg
|
| Verfasst am: 12.Jul 2005 23:23 Titel: |
|
|
Hallo,
die Foren-Anbieter wissen um die Bugs, denn auf deren Support-Foren
werden sie letztlich laut und erkennbar. Wer sich die Bug-Fix'es installiert
ist normalerweise aus dem Schneider. Aber das ist Theorie.
Die wenigsten Boards, gemessen an der Menge, werden professionell
betrieben und (pardon) kein Schwein juckt es, wenn irgendwas nicht
'rund' läuft. Man wartet auf ein Update, oder eine Folgeversion und damit
hat es sich.
Ich war lange Zeit Global-Mod auf einem YaBB-Forenhoster und kenne die
Nöte und Lücken. Nur durch die Initiative des eigenen Checks und der Er-
fahrungen Dritter, wurden die Bugs step-by-step ausgebrannt und gefixt.
Vor Jahren lag im Stammverzeichnis der User mit all ihren Daten und
so weiter, noch nicht einmal eine .htaccess und mehr soll auch dazu nicht
gesagt werden. Ein offenes Buch...
Wer (wie ich) alle großen und gängigen Boards auf der Festplatte hat, der
kennt die Strukturen und kann die Daten aufrufen, wie es ihm gefällt.
Die wirklich fetten Lücken wurden bei den großen Boards mittlerweile ge-
schlossen. Leider noch nicht alle und man kann sie sichtbar darstellen,
wer die passende Software dazu hat. |
|
| Nach oben |
|
|
cash-flow
Specialist
Anmeldungsdatum: 29.06.2005
Beiträge: 90
|
| Verfasst am: 12.Jul 2005 23:44 Titel: |
|
|
... noch nicht mal Software... da reicht ein simpler Link im Browser.
|
|
| Nach oben |
|
|
Lutz Spilker
* Consulter *
Anmeldungsdatum: 04.05.2004
Beiträge: 1432
Wohnort: Nürnberg
|
| Verfasst am: 12.Jul 2005 23:51 Titel: |
|
|
ähem....
lassen wir's dabei, es weckt nur die... eben...  |
|
| Nach oben |
|
|
M. Joppe
Insider
Anmeldungsdatum: 10.11.2004
Beiträge: 788
|
| Verfasst am: 13.Jul 2005 0:12 Titel: |
|
|
| Zitat: |
ähem....
lassen wir's dabei, es weckt nur die... |
...Faust im PC 
| Zitat: |
| eben... |
_________________
"Wir lehren nicht bloß durch Worte, wir lehren auch weit eindringlicher durch unser Beispiel."(Johann Gottlieb Fichte) |
|
| Nach oben |
|
|
|
|
|
|
|
Sie können keine Beiträge in dieses Forum schreiben.
Sie können auf Beiträge in diesem Forum nicht antworten.
Sie können Ihre Beiträge in diesem Forum nicht bearbeiten.
Sie können Ihre Beiträge in diesem Forum nicht löschen.
Sie können an Umfragen in diesem Forum nicht mitmachen.
|
|
|
| |
Suchen
Registrieren
Profil
Login
FAQ
Mitgliederliste
Einloggen, um private Nachrichten zu lesen
