| Autor
|
Thread |
  |
|
Joiner
Seniorgeier
Anmeldungsdatum: 05.06.2003
Beiträge: 306
Wohnort: Unna |
Sicherheitsluecke in phpBB-Forensoftware!
quote:
Sehr geehrte Damen und Herren,
Diese Security-Information richtet sich an ALLE WebHosting- Kunden, Wiederverkaeufer und Administratoren von dedizierten Servern.
Aktuell erreichen uns vermehrt Anfragen von Kunden, die die beliebte Forensoftware phpBB einsetzen und deren Web- Praesenzen ueber eine gravierende Schwachstelle in dieser Software gehackt wurden!
Betroffen von der schwerwiegenden Sicherheitsluecke sind
alle Installationen bis einschließlich zur Version 2.0.10!
Diese Forensoftware wird in abgewandelter Form auch in
aelteren Typo3-Versionen verwendet!
Ein schnelles Handeln ist DRINGEND angeraten, da sogenannte "Script-Kids" derzeit Serversysteme gzielt nach dieser Version scannen und die betroffenen Praesenzen anschliessend ohne groessere Kenntnisse mit Hilfe vorgefertigter Tools (Exploits) innerhalb von Sekunden hacken! Offensichtlich kursieren bereits Exploits, ueber die entsprechende Scans inkl. der nachfolgenden Hacks vollstaendig automatisiert ablaufen.
In der Regel wurden die zugehoerigen WebSites der Praesenz
im Zuge des Hacks durch die Angreifer defaced, d.h. die hinterlegten Inhalte, Startseiten wurden entsprechend manipuliert.
Sollten Sie oder einer Ihrer Kunden das phpBB-Forum in der Version 2.0.10 oder kleiner einsetzen, moechten wir Sie DRINGEND bitten, die betroffene Foren-Software UMGEHEND auf die aktuelle Version 2.0.11 umzustellen bzw. umstellen zu lassen!
Die Versionsnummer Ihrer Foren-Software konnen Sie der Fusszeile Ihres Forums entnehmen!
Die aktuelle Version 2.0.11 steht direkt auf der WebSite der Entwickler zum Download bereit: http://www.phpbb.com/downloads.php
Sollten Sie phpBB im Rahmen Ihrer Typo3 Praesenz einsetzen, loeschen Sie bitte die alte Erweiterung und laden Sie ueber den Extension-Manager die aktuellste phpBB-Version!
Weitere Informationen zur neuen Version von phpBB: http://www.phpbb.de/
Weitere Informationen zur Schwachstelle: http://www.heise.de/security/news/meldung/53511
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240636
http://www.derkeiler.com/Mailing-Lists/securityfocus/bugtraq/2004-11/0238.html
Auch die PHP-Software anderer Hersteller (Foren, Boards, WebLogs, Chats und sonstige PHP-Anwendungen) weist regelmaessig bislang unbekannte Schwachstellen auf! Wir moechten daher alle Kunden nochmals bitten, regelmaessig die Entwickler-WebSites der jeweils verwendeten Software aufzusuchen und die verwendete Anwendung durch jeweils aktuelle Programmversionen upzudaten.
Alle Reseller oder Betreiber von dedizierten Servern moechten wir bitten, die o.a. Informationen umgehend an Ihre Kunden weiterzuleiten und schnellstmoeglich ein Versions-Update ggf. betrfoffener Software-Versionen zu veranlassen. Bitte handeln Sie schnell, um umfangreiche Folgen abzuwenden!
Wir bedanken uns fuer Ihre Mitarbeit!
|
21.12.2004, 17:59 |
|
|
Bensen
Juniorgeier
Anmeldungsdatum: 19.12.2003
Beiträge: 93
|
hi,
einem Freund von mit haben sie vor 2 Wochen durch diese Sicherheitslücke den Server gekapert. Aber haben nur genervt und die index umbenannt.
Naja sicherheitshalber muß man dann aber das ganze system plattmachen. Vielleicht haben die sich irgendwo ein backdoor eingebaut.
|
|
21.12.2004, 20:40 |
|
|
paulrene
Seniorgeier
Anmeldungsdatum: 05.06.2003
Beiträge: 829
Wohnort: Berlin |
Hab das heute schon auf heise gelesen.
Ich muss heute Abend noch ein Forum updaten - da ist eine Urlalt Version drauf. Mein eigenes ist zum Glück aktuell.
Schon ein böser Bug.
_________________
Gruß Paule
|
|
21.12.2004, 21:17 |
|
|
Stapa
Altgeier
Anmeldungsdatum: 05.06.2003
Beiträge: 1823
Wohnort: Wien |
der is aber nicht neu. bereits vor einem jahr wurde durch eine phpbb sicherheitslücke meine seite puzzle-paradies.com und etliche andere seiten auf dem selben all-inkl server gehackt.
_________________
###############
###############
###############
###############
###############
###############
|
|
21.12.2004, 22:52 |
|
|
paulrene
Seniorgeier
Anmeldungsdatum: 05.06.2003
Beiträge: 829
Wohnort: Berlin |
Ja es sind ja immer mal wieder Lücken. Die Aktuelle wurde aber erst vor ca. einem Monat behoben.
Dieses mal werden auch die Seiten direkt per Webwurm modifiziert.
Kuckst Du google http://www.google.de/search?hl=de&q=%22NeverEverNoSanity+WebWorm+generation%22&meta=
quote:
Ergebnisse 1 - 10 von ungefähr 1.470 für "NeverEverNoSanity WebWorm generation
Edit: Es kann durchaus sein, das der Geier auch bald drann ist, wenn er die Standart "2.0.10" nutzt. Ich bin aber noch nicht zu gekommen, mir den Code mal genauer anzukucken.
_________________
Gruß Paule
Zuletzt bearbeitet von paulrene am 22.12.2004, 09:31, insgesamt 3-mal bearbeitet
|
|
22.12.2004, 09:27 |
|
|
|
|
Geier
Seniorgeier
Anmeldungsdatum: 28.05.2003
Beiträge: 933
Wohnort: Gladbeck |
Update ist installiert. Testet mal bitte ob noch alles richtig funktioniert. Danke ;o)
_________________
http://www.geldgeier.de & mehr
|
|
22.12.2004, 15:37 |
|
|
Joiner
Seniorgeier
Anmeldungsdatum: 05.06.2003
Beiträge: 306
Wohnort: Unna |
Und wieder ein Update:
quote:
Hi everyone,
phpBB Group announces the release of phpBB 2.0.13. This release addresses two recent security exploits, one of them critical. They were reported a few days after .12 was released and no one is more annoyed than us, having to release a new version in such a short period of time.
Fortunately both fixes are easy and in each case just one line needs to be edited.
The first issue is critical and we urge you to fix it on your forums as soon as possible:
Open includes/sessions.php
Find:
if( $sessiondata['autologinid'] == $auto_login_key )
Replace with:
if( $sessiondata['autologinid'] === $auto_login_key )
The second minor issue, reported to bugtraq several days ago, was the path disclosure bug in viewtopic.php. For further information on how to manually fix this bug please see our announcements forum at www.phpbb.com:
http://www.phpbb.com/phpBB/viewtopic.php?t=267563
As with all new releases we urge you to upgrade as soon as possible.
You can of course find this download available on our website at:
http://www.phpbb.com/downloads.php
As per usual three packages are available to simplify your upgrade.
|
|
28.02.2005, 11:41 |
|
|
Geier
Seniorgeier
Anmeldungsdatum: 28.05.2003
Beiträge: 933
Wohnort: Gladbeck |
wurde soeben upgedated
_________________
http://www.geldgeier.de & mehr
|
|
01.03.2005, 15:53 |
|
|
Joiner
Seniorgeier
Anmeldungsdatum: 05.06.2003
Beiträge: 306
Wohnort: Unna |
Und das nächste Update vom 16.04.2005
Hi everyone,
phpBB Group announces the release of phpBB 2.0.14, the "We know we are (not) furry" edition. This release addresses some bugfixes as well as fixing some minor non-critical security issues. All issues not reported to us before being released are not credited to the founder, as usual.
As with all new releases we urge you to update as soon as possible. You can of course find this download available on our downloads page (http://www.phpbb.com/downloads.php). As per usual three packages are available to simplify your update.
The Full Package contains entire phpBB2 source and English language package.
The Changed Files Only contains only those files changed from previous versions of phpBB. Please note this archive contains changed files for each previous release.
Patch Files contains patch compatible patches from the previous versions of phpBB.
Select whichever package is most suitable for you.
The changelog (contained within this release) is as follows:
- Hardened author and keyword search a bit to not allow very server intensive searches
- Fixed full path disclosure in bad word parsing
- Resetting complete userdata array in session code if authentication fails
- Fixed bug in moderator control panel where certain parameters could lead to an "error creating new session" sql error
- Fixed bug in session code where empty page ids could lead to an "error creating new session" sql error
- Fixed html handling in signatures if html is turned off globally
- Fixed install.php problem with PHP5 register_long_arrays option turned off
- Fixed potential issues with styling system
- Added correct class to login_body template file
- Removed file db/oracle.php from package.
- Removed version number from message body page in /admin (if user is not an admin) - mikelbeck
- Fixed case-sensitivity issues in postgres7.php - R45
As always, our Code Changes Tutorial will be soon available too for those with heavily modded boards.
|
|
19.04.2005, 14:17 |
|
|
Geier
Seniorgeier
Anmeldungsdatum: 28.05.2003
Beiträge: 933
Wohnort: Gladbeck |
2.0.14 ist drauf!
_________________
http://www.geldgeier.de & mehr
|
|
20.04.2005, 11:32 |
|
|
Joiner
Seniorgeier
Anmeldungsdatum: 05.06.2003
Beiträge: 306
Wohnort: Unna |
Und die nächste 
Sehr geehrte Kundin,
Sehr geehrter Kunde,
der folgende Sicherheit-Hinweis richtet sich an alle Hosting-
Kunden, Reseller und Server-Administratoren, die im Rahmen
ihrer WebPraesenz bzw. auf ihren dedizierten Servern oder
Reseller-Servern das weit verbreitete PHP-Bulletin-Board
(phpbb) in einer Version < 2.015 einsetzen.
BITTE FUEHREN SIE UMGEHEND EIN UPDATE AUF
PHPBB VERSION 2.0.15 DURCH!
------------------------------------
UPDATE-PATCH:
http://www.phpbb.com/downloads.php
------------------------------------
------------------------------------
UPDATE NOTIFICATION DER AUTOREN
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=288194
------------------------------------
Die aktuelle Schwachstelle in phpbb < Vers. 2.0.15 ist
GRAVIEREND!
Wie schon vor einigen Wochen, kann auch die aktuelle
Schwachstelle zum Eindringen in WebPraesenz und zum
Loeschen bzw. Veraendern (defacen) von Daten genutzt
werden!
Veraltete phpbb-Versionen koennen in sekundenschnelle
(teilweise vollautomatisch) ueber Suchmaschinen und Scripts
im Web aufgespuehrt werden und mittels kinderleicht anwendbarer
(automatischer) Exploits ausgenutzt werden.
|
|
08.05.2005, 22:15 |
|
|
|
|
|
|
Geier
Seniorgeier
Anmeldungsdatum: 28.05.2003
Beiträge: 933
Wohnort: Gladbeck |
zu spät, der geier hat das update schon gemacht 
_________________
http://www.geldgeier.de & mehr
|
|
09.05.2005, 12:24 |
|
|
Nicco
Seniorgeier
Anmeldungsdatum: 05.06.2003
Beiträge: 591
|
Naja, in zwei/drei Monaten werden wir dann die nächste Gelegenheit haben, die Seite zu übernehmen ... 
_________________
Mfg, Nicco
Mozilla.org
Popups? Gibts die noch?
Online-Mahnbescheid.de
Auszahlung garantiert!
|
|
09.05.2005, 20:44 |
|
|
paulrene
Seniorgeier
Anmeldungsdatum: 05.06.2003
Beiträge: 829
Wohnort: Berlin |
Tja es kommt schneller als man denkt.
quote:
kritische Sicherheitslücke
Die Entwickler der populären Forensoftware phpBB haben das Update 2.0.16 zur Verfügung gestellt, in der nach eigenen Angaben eine kritische Sicherheitslücke geschlossen ist. Worum es sich genau handelt und wie Angreifer sie ausnutzen können, ist in der Ankündigung nicht beschrieben.
...
Kompletten Beitrag findet ihr
in der Quelle auf heise.de
_________________
Gruß Paule
Zuletzt bearbeitet von paulrene am 28.06.2005, 09:13, insgesamt einmal bearbeitet
|
|
28.06.2005, 09:13 |
|
|
Geier
Seniorgeier
Anmeldungsdatum: 28.05.2003
Beiträge: 933
Wohnort: Gladbeck |
..und upgedatet...
_________________
http://www.geldgeier.de & mehr
|
|
28.06.2005, 11:17 |
|
|
|
|
Geier
Seniorgeier
Anmeldungsdatum: 28.05.2003
Beiträge: 933
Wohnort: Gladbeck |
nee, schon richtig, mit dem patchfile. klappt ganz gut, da hat man wenig stress mit
_________________
http://www.geldgeier.de & mehr
|
|
28.06.2005, 13:25 |
|
|
Bensen
Juniorgeier
Anmeldungsdatum: 19.12.2003
Beiträge: 93
|
hi,
ich würde mein phpBB auch gerne updaten. (hab im moment vers. 2.1.0).
Ich hab aber einige Mods installiert, die ich auch unbedingt behalten will (z.B. Bilder Gallerie).
Ich habe gelesen, dass mit den Patch-Files sowas eigentlich erhalten bleibt. Das problem ist aber, dass ich kein zugriff auf die konsole habe. Deswegen kann ich die Patch Files nicht aufspielen. Oder gibt es da einen Trick?
Gruß
Benni
|
|
07.07.2005, 16:51 |
|
|
|
|
Bensen
Juniorgeier
Anmeldungsdatum: 19.12.2003
Beiträge: 93
|
und die anderen? Das sind doch ne ganze menge oder nicht. Per Hand würde ich ja ewig dran sitzen....
|
|
07.07.2005, 16:58 |
|
|
Geier
Seniorgeier
Anmeldungsdatum: 28.05.2003
Beiträge: 933
Wohnort: Gladbeck |
das sind keine sql befehle sondern eine patch-datei. du brauchst dafür schon zugriff auf die konsole inkl. des "patch" befehls, sonst klappt das nicht
_________________
http://www.geldgeier.de & mehr
|
|
07.07.2005, 19:53 |
|
|
Joiner
Seniorgeier
Anmeldungsdatum: 05.06.2003
Beiträge: 306
Wohnort: Unna |
phpBB 2.0.17 released
phpBB Group announces the release of phpBB 2.0.17, the "no, we did not forget naming it last time" release. This release addresses several bugfixes and some low security issues as well as the recently seemingly wide-spread XSS issue (only affecting Internet Explorer).
Please have a look down this announcement for the code changes necessary to fix the XSS issue, we are again astounded about the energy people put into finding the smallest issue in phpBB 2.0.x, those must have a lot of time available. But on the other hand it is always increasing the products security since we do not introduce new features into the 2.0.x codebase.
With this announcement I want to give you some more information regarding phpBB's security. psoTFX (Paul S. Owen, Project Manager) initiated and brought forward the idea and concept of a complete security audit of the 2.0.x codebase. We introduced some top-notch security people, phpBB-Modders and very talented people from our teams to participate in this audit. We intend to implement the changes necessary - and also fixing the found issues, hopefully giving the now very aged codebase (it is still on a technical level from three years ago) a lift and bringing it up-to-date with security mechanisms and techniques which are common nowadays.
We also intend to open our private bugtracker system to the public for reporting 2.0.x bugs within the next days.
As with all new releases we urge you to update as soon as possible. You can of course find this download available on our downloads page at http://www.phpbb.com/downloads.php.
As per usual three packages are available to simplify your update.
The Full Package contains entire phpBB2 source and English language package.
The Changed Files Only contains only those files changed from previous versions of phpBB. Please note this archive contains changed files for each previous release.
Patch Files contains patch compatible patches from the previous versions of phpBB.
As always, our Code Changes Tutorial is available too for those with heavily modded boards.
It can be downloaded from http://www.phpbb.com/phpBB/viewtopic.php?t=308426
Select whichever package is most suitable for you.
Please ensure you read the INSTALL and README documents in docs/ before proceeding with installation or updates!.
The changelog (contained within this release) is as follows:
- Added extra checks to the deletion code in privmsg.php - reported by party_fan
- Fixed XSS issue in IE using the url BBCode
- Fixed admin activation so that you must have administrator rights to activate accounts in this mode - reported by ieure
- Fixed get_username returning wrong row for usernames beginning with numerics - reported by Ptirhiik
- Pass username through phpbb_clean_username within validate_username function - AnthraX101
- Fixed PHP error in message_die function
- Fixed incorrect generation of {postrow.SEARCH_IMG} tag in viewtopic.php - reported by Double_J
- Also fixed above issue in usercp_viewprofile.php
- Fixed incorrect setting of user_level on pending members if a group is granted moderator rights - reported by halochat
- Fixed ordering of forums on admin_ug_auth.php to be consistant with other pages
- Correctly set username on posts when deleting a user from the admin panel
Please read the official announcement for the code changes necessary to fix the XSS issue:
http://www.phpbb.com/phpBB/viewtopic.php?t=308490
the phpBB Group
|
|
20.07.2005, 09:46 |
|
|
Mitglieder
Geierforum.de Foren-Übersicht
-> Webmaster
