neue Sicherheitslücke in phpBB

rellek · #2 26.10.2005, 16:22

.....

wurstbrot · #3 26.10.2005, 16:26

nur diejenigen, die Benutzerdaten nicht prüfen (was bei phpBB ja leider öfters vorkommt). Im Prinzip ist es ja nicht so schwierig die Daten zu prüfen. Wie du evtl. gelesen hast, sind ja nur GIF-Bilder betroffen. Diese kannst ja einlesen in PHP (file_get_contents) und prüfen, ob script-Befehle drin sind. Wenn ja, das Bild nicht zulassen. Fertig.

Wurstbrot

rellek · #4 26.10.2005, 16:29

.....

wurstbrot · #5 26.10.2005, 16:45

Also ganz ehrlich. Das halte ich für grob fahrlässig. In meinem Forum wird kein einziger Inhalt extern bezogen (es sei denn, es ist explizit ein externer Link, auf den der User klicken muss). Mit der von dir genannten Praxis muss man ja mit Sicherheitsproblemen rechnen. Traffic hin oder her, aber das kann ja nicht sein.

Wurstbrot

flx · #6 26.10.2005, 17:21

die lücke lässt sich einfach schliessen mit:

Code:

if(@getimagesize($url) == FALSE)
           $url = 'img/warning.png';

fürs punBB gibts eine genaue Beschreibung des img tag exploits hier

Acyd Burn · #7 26.10.2005, 17:35

Betroffen von der IE-Sicherheitslücke sind alle programme die das hochladen von bildern erlauben. Punkt.

Aber was wird gemacht... laut losgeschrien das das phpBB ne Sicherheitslücke hat. Naja, man gewöhnt sich an alles.

Zitat:

Naja, aber das wird ja eben nicht gemacht, weil der Server dann alle Bilder saugen müsste und prüfen müsste, was eine größere Last und Traffic-Aufkommen zur Folge hat... (Jedenfalls war das die Begründung, warum mit getimagesize nicht arbeiten sollte, um zu verhindern, dass die Tabelle gesprengt wird)

Hä? ne, völlig falsch. Ich kann mir aber vorstellen was du meintest, nämlich das 2.0.x bei verlinkten avataren und Links zu Bildern nicht bei jedem Seitenaufruf das Bild prüft, da es den Server zum Stillstand bringen würde.

Zitat:

die lücke lässt sich einfach schliessen mit:

if(@getimagesize($url) == FALSE)
$url = 'img/warning.png';

fürs punBB gibts eine genaue Beschreibung des img tag exploits hier

Und wenn nachher jemand das bild auf seinem server austauscht? Oder stell dir vor jemand lädt ein Bild (.jpg z.B.) mit einem Image-Header hoch (z.B. ein korrekter GIF-Header)... getimagesize würde nicht false ausgeben... oder? Aber der IE macht dann was wundervolles, es führt die scripts darin aus.

Und ja, mit 2.0.18 werden auch wir in 2.0.x explizit auf den imagetype achten... und ja, wir wurden informiert, haben einen fix zusammengestellt und dem reporter gesagt das es mit 2.0.18 released wird. Was natürlich unerwartet kam ist das der reporter sofort losgegangen ist und es öffentlich gemacht hat (sein advisory)... damit werden wir ihn auch sicher nicht im changelog erwähnen.

Generell sollten die Browser-Entwickler (ok, Microsoft) die Lücke auch schliessen, denn sowas ist grob fahrlässig.

flx · #8 26.10.2005, 17:39

Zitat:

Zitat von Acyd Burn

Und wenn nachher jemand das bild auf seinem server austauscht? Oder stell dir vor jemand lädt ein Bild (.jpg z.B.) mit einem Image-Header hoch (z.B. ein korrekter GIF-Header)... getimagesize würde nicht false ausgeben... oder? Aber der IE macht dann was wundervolles, es führt die scripts darin aus.

hm.. das stimmt. wie will man es denn dann fixen?

Björn · #9 26.10.2005, 17:45

Zitat:

Und wenn nachher jemand das bild auf seinem server austauscht?

Huhu
ich nutze zwar nicht das phpbb, sondern eine eigene kleine software.. ich les immer ganz gut bei anderen system mit bezüglich sicherheitslöcher um diese bei mir gleich zu stopfen..
also wenn ich das richtig verstehe steht in dem bild-source dann irgendwo drin

Code:

<script>alert('HAHA');</script>

und das wird dann vom IE ausgeführt wenn das bild eingebunden wird?? Aber das würde nur gehen wenns hochgeladen ist.. Und wie schütz ich mich da am besten vor?

bitte berichtigt mich falls meine vermutungen falsch sind

bin dankbar mfg

Edit: so ich habs mir noch mal genau durchgelesen.. wenn ich es per <img src=".." /> einbinde, scheint nix zu passieren, erst wenn ich das bild so aufrufe im browser..

und wie prüfe ich es am besten auf unregelmäßigkeiten?? schauen ob ein "<script>" drin vorkommt???

wurstbrot · #10 26.10.2005, 17:48

Zitat:

Betroffen von der IE-Sicherheitslücke sind alle programme die das hochladen von bildern erlauben. Punkt.

Nein, das stimmt nicht. Denn wenn ich ein Bild hochladen lasse, dann kann ich es auch prüfen. Ich muss es serverseitig nur öffnen und auf Unregelmäßigkeiten prüfen. Sollten die vorhanden sein, dann wird das Bild einfach nicht akzeptiert.

Dass Microsoft hier schlampig ist und auch nicht reagieren will, ist zwar typisch, denen sollte man dafür auf die Finger hauen. Das entschuldigt aber nicht, User-Daten nicht zu prüfen. Wenn man schon weiß, dass der Internet Explorer so fehlertollerant ist (was an sich ja gut ist), dann sollte man eben ALLE Daten, die vom User kommen, prüfen, also auch Bilder.

Wurstbrot

rellek · #11 26.10.2005, 17:50

.....

wurstbrot · #12 26.10.2005, 17:53

Zitat:

Und wie schütz ich mich da am besten vor

Ganz einfach, du öffnest das Bild und speicherst dir den Inhalt in einer Variablen. Dann prüfst du, ob da "script" vorkommt, fertig.

Also praktisch so (von der Idee her):

PHP-Code:

  $image = file_get_contents($file);
if (strstr($image, "script")){
 //fehlerhaftes Bild -> nicht akzeptieren -> löschen und Ausgabe an User
  // -> Protokoll Schreiben für Hack-Versuch - am Besten mit userID
}

Wurstbrot

wurstbrot · #13 26.10.2005, 17:55

Zitat:

Und das file_get_contents müsste ja entsprechend genauso arbeiten (Bild saugen, ankucken, auswerten)

Also ich weiß ja nicht, wie ihr da vorgeht. Aber ich lade das Bild einmal vom User, dann wird es auf dem Server gespeichert. Somit muss ich es nur beim Hochladen prüfen. Damit hält sich die Server-Belastung in Grenzen, es ist ja nicht so, dass jeden Tag alle user ein neues Bild hochladen. Externe Bilder einfach zu übernehmen halte ich wie gesagt für gewagt - wie sich jetzt eben zeigt.

Wurstbrot

Acyd Burn · #14 26.10.2005, 17:58

und wenn ich dann url-kodierung benutze? % und %% (falls % gefiltert wird)?

Wenn man fixt dann sollte man auch alle nur möglichen Eventualitäten durchspielen, es ist ja nicht so das man die Daten nicht prüft... es ist eher so das man immer wieder feststellt das man eine Sache (an die man nicht gedacht hat, oder die es zu dem Zeitpunkt einfach nicht gab) vergessen hat.

Acyd Burn · #15 26.10.2005, 17:59

Zitat:

Zitat von wurstbrot

Also ich weiß ja nicht, wie ihr da vorgeht. Aber ich lade das Bild einmal vom User, dann wird es auf dem Server gespeichert. Somit muss ich es nur beim Hochladen prüfen. Damit hält sich die Server-Belastung in Grenzen, es ist ja nicht so, dass jeden Tag alle user ein neues Bild hochladen. Externe Bilder einfach zu übernehmen halte ich wie gesagt für gewagt - wie sich jetzt eben zeigt.

Wurstbrot

Wir sprechen hier über Links.

IMG-Tags, Remote-Avatare, etc.

Scotty · #16 26.10.2005, 22:42

Zitat:

Zitat von Acyd Burn

Und ja, mit 2.0.18 werden auch wir in 2.0.x explizit auf den imagetype achten...

Wann ist mit der zu rechnen *liebschau*? Wird das dann ein aufwendiges Update?

Frederic Schneider · #17 26.10.2005, 23:18

Acyd, bevor hier weiter gerätselt wird: Sage doch einfach, wie ihr vom phpBB Entwicklerteam das gelöst habt. Dann freuen sich auch gleich alle phpBB-Nutzer auf der Boardunity.

MaMo · #18 27.10.2005, 06:50

Zitat:

Zitat von frederic

Sage doch einfach, wie ihr vom phpBB Entwicklerteam das gelöst habt. Dann freuen sich auch gleich alle phpBB-Nutzer auf der Boardunity.

Off-Topic:
Und auch ich als non-phpBBler - siehe PM, Acid

Acyd Burn · #19 27.10.2005, 10:18

Zitat:

Zitat von Scotty

Wann ist mit der zu rechnen *liebschau*? Wird das dann ein aufwendiges Update?

Ja, es wird das aufwendigste Update. Wir haben ja seid 2.0.17 ein Team von Sicherheitsspezialisten ins Boot geholt die uns beim finden und beheben von Sicherheitslücken helfen (da wir manchmal auch nicht alles wissen können). Es wurde eine Menge präventiv gefixt, eine Menge Bugs wurden beseitigt und die Session/autologin Keys von Olympus wurden in 2.0.x eingebunden.

Das Avatar-Problem haben wir so gelöst das wir explizit auf den mime-typen prüfen. Wenn dieser mit der File-extension übereinstimmt und das Bild zudem größer 0 Byte ist (ein reines Script hat bei getimagesize immer 0 byte - das haben wir aber schon seid 2.0.17 drin gehabt) dann lassen wir es durch.

Was IMG-Tags und Links allgemein angeht haben wir noch keine Lösung gefunden, das Logout-Problem (also mit einem Bild einen logout zu produzieren) wurde auch gelöst indem wir explizit auf die session id (wie beim Moderator-Panel z.B.) prüfen. Das wird wahrscheinlich bei einigen 'Invalid_Session'-Fehler verursachen (AOL-Proxies)...

edit: Momentan testen wir 2.0.18 team-intern, von unserer audit-group und von dem internationalen supportern, sowie package maintainern (debian, gentoo...). Es wurden beim testen noch einige Dinge gefunden und ich hoffe mit dem Release spätestens in einer Woche.

Scotty · #20 27.10.2005, 10:24

Zitat:

Zitat von Acyd Burn

Ja, es wird das aufwendigste Update...

Oha, das heißt wohl Nachtschicht, hoffentlich kommt es dann an einem Freitag raus

. Einglück das ich es bei mir nicht so übertrieben habe mit den MOD Einbau…

wurstbrot · #21 27.10.2005, 11:46

Hi,

was mich interessieren würde: was für Bugs waren noch drin. Nicht weil ich jetzt phpBB schlecht machen will (ich find es zugegebenermaßen recht gut), sondern weil ich denke, dass im eigenen Code mit Sicherheit auch die ein oder andere Sicherheitslücke schlummert. Würde mich deshalb interessieren, was genau war und wie ihr es behoben habt. Da wäre mit Sicherheit auch was für mich zu lernen.

Wurstbrot

Scotty · #22 31.10.2005, 12:07

Zitat:

Zitat von Acyd Burn

edit: Momentan testen wir 2.0.18 team-intern, von unserer audit-group und von dem internationalen supportern, sowie package maintainern (debian, gentoo...). Es wurden beim testen noch einige Dinge gefunden und ich hoffe mit dem Release spätestens in einer Woche.

Ja nun ist es da

, die veranlagte Stunde für den Einbau kann aber nicht euer ernst sein

, ich hab 3 gebraucht, allein weil ich noch mal alles überprüft hab (sicher ist sicher). Dennoch es war heftig, nach dem Einbau war ich reif fürs bett

.

Dank an euch, Respekt...

@wurstbrot
Kannst du hier nachlesen:
http://www.phpbb.com/phpBB/viewtopic.php?t=336756

rellek · #23 31.10.2005, 12:45

.....

S2B · #24 31.10.2005, 13:19

Zitat:

Zitat von Scotty

Ja nun ist es da

, die veranlagte Stunde für den Einbau kann aber nicht euer ernst sein

, ich hab 3 gebraucht, allein weil ich noch mal alles überprüft hab (sicher ist sicher).

Bei mir waren es "nur" 1.5, ich habe es allerdings nicht noch einmal überprüft und habe zugegebenermaßen nicht immer mitgedacht. *g*

Zitat:

Zitat von Scotty

Dank an euch, Respekt...

Kann ich mich nur anschließen.

@Acyd: Vielleicht sollte man auf diese Stelle noch aufmerksam machen, das kommt nämlich mehrmals vor, auch wenn es "nur" 2 Möglichkeiten gibt.

Scotty · #25 31.10.2005, 13:47

Zitat:

Zitat von S2B

Vielleicht sollte man auf diese Stelle noch aufmerksam machen, das kommt nämlich mehrmals vor, auch wenn es "nur" 2 Möglichkeiten gibt.

Ja das hat mich auch verwirrt

…

Wer gestern Abend das Manuelle Update gemacht hat, muss da noch mal was machen, es wurde was vergessen:
http://www.phpbb.com/phpBB/viewtopic...834524#1834524

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
phpBB oder SMF?	Windwalker	Forensoftware	34	21.08.2008 03:03
Bundesrepublik Bergen (MN): neue Brüger gesucht	Hans von Wurst	Community Management, Administration und Moderation	16	13.05.2007 10:19
Das phpBB 2	Daniel Richter	Erfahrungsberichte	57	21.04.2006 21:12
phpBB Community Coding Projekte	itst	Forensoftware	12	25.11.2005 15:01