Durch die Mailingliste Bugtraq, bin ich auf einen Fehler im phpBB2 bis einschlieslich Version 2.0.3 gestoßen.

Und zwar wird, wenn Avatare hochgeladen werden, die IP Adresse des Absenders im neuen Dateinamen des geuploadeten Bildes gespeichert. So könnte man die Opfer, ausgehend vom Dateinamen des Avatarbildes, direkt über die IP Adresse angreifen.

Als Workaraound wird empfohlen, dass Uploaden der Avatar Bilder vorerst zu deaktivieren.

Die IP Adresse wird zwar hexa dargestellt aber es sollte ja kein Problem sein diese umzurechnen :-)

Ich habe den Fehler bei mir in Version 2.0.0 bis 2.0.3 festellen können.

Kein tragischer Fehler.
Die meisten leute haben keine statische IP-Adresse und damit hat es sich mit dem Angriff wenn man den rechner vom Netz trennt.

Und die statischen Adressen sind eh ständig irgendwelchen Angriffen ausgesetzt. Ich jedenfalls hab zig Einträge von irgendwelchen Skript-Kiddies die mit jämmerlichen Windowsbugs meien Apache zu knacken.
*achselzuck*
Was solls, sollen se spielen.

Alex

Also hier wurde das Thema auch schon angesprochen und ist im Security-Focus seit 9. Oktober bekannt ( Link ). Als eine echte Sicherheitslücke würde ich das allerdings auch nicht bezeichnen.

Hab ich gar net gelesen :-) Aber egal. Dachte halt es ist interessant. Sicher ises kein großes Problem, zumal es noch andere Wege gibt an die IP's zu kommen.

Ich fands nur erwähnenswert.

BTW: Selbst mit ISDN Leitung hab ich spätestens nach ca. 10 Minuten Online Zeit meinen ersten Portscan, der latürnich nich klappt lol.

Der Apache bei mir wird auch andauernd von irgendwelchem Würmern (siehe Code Red) bombardiert, da zu Versuchszzwecken ASP mit eincompiliert ist. Jaja, der Wurm meint halt es sein ein IIS :-)