Zur Boardunity Forenstartseite
  #1  
Alt 14.10.2002, 16:13
Mitglied
 
Registriert seit: 07.2002
Ort: bei L.E.
Beiträge: 38
Durch die Mailingliste Bugtraq, bin ich auf einen Fehler im phpBB2 bis einschlieslich Version 2.0.3 gestoßen.

Und zwar wird, wenn Avatare hochgeladen werden, die IP Adresse des Absenders im neuen Dateinamen des geuploadeten Bildes gespeichert. So könnte man die Opfer, ausgehend vom Dateinamen des Avatarbildes, direkt über die IP Adresse angreifen.

Als Workaraound wird empfohlen, dass Uploaden der Avatar Bilder vorerst zu deaktivieren.

Die IP Adresse wird zwar hexa dargestellt aber es sollte ja kein Problem sein diese umzurechnen :-)

Ich habe den Fehler bei mir in Version 2.0.0 bis 2.0.3 festellen können.

  #2  
Alt 14.10.2002, 22:59
Mitglied
 
Registriert seit: 08.2002
Beiträge: 12
Kein tragischer Fehler.
Die meisten leute haben keine statische IP-Adresse und damit hat es sich mit dem Angriff wenn man den rechner vom Netz trennt.

Und die statischen Adressen sind eh ständig irgendwelchen Angriffen ausgesetzt. Ich jedenfalls hab zig Einträge von irgendwelchen Skript-Kiddies die mit jämmerlichen Windowsbugs meien Apache zu knacken.
*achselzuck*
Was solls, sollen se spielen.

Alex

  #3  
Alt 15.10.2002, 00:55
Boardunity Team
 
Registriert seit: 12.2001
Beiträge: 1.624
Also hier wurde das Thema auch schon angesprochen und ist im Security-Focus seit 9. Oktober bekannt ( Link ). Als eine echte Sicherheitslücke würde ich das allerdings auch nicht bezeichnen.

  #4  
Alt 16.10.2002, 18:37
Mitglied
 
Registriert seit: 07.2002
Ort: bei L.E.
Beiträge: 38
Hab ich gar net gelesen :-) Aber egal. Dachte halt es ist interessant. Sicher ises kein großes Problem, zumal es noch andere Wege gibt an die IP's zu kommen.

Ich fands nur erwähnenswert.

BTW: Selbst mit ISDN Leitung hab ich spätestens nach ca. 10 Minuten Online Zeit meinen ersten Portscan, der latürnich nich klappt lol.

Der Apache bei mir wird auch andauernd von irgendwelchem Würmern (siehe Code Red) bombardiert, da zu Versuchszzwecken ASP mit eincompiliert ist. Jaja, der Wurm meint halt es sein ein IIS :-)

Antwort


Stichworte
-

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
-> Performanceverlust beim wbb2 Version 2.1.3 vloock Forensoftware 17 02.02.2004 23:00
Suchfunktion Unterschiede in WBB und PHPBB2 Norbert Forensoftware 7 21.11.2003 15:18






1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25