Zur Boardunity Forenstartseite
  #1  
Alt 26.10.2005, 15:35
Mitglied
 
Registriert seit: 09.2005
Ort: Ulm
Beiträge: 109

neue Sicherheitslücke in phpBB


Hallo,

damit niemand unaufgeklärt bleibt: es gibt eine neue Sicherheitslücke in phpBB, weil wieder Daten nicht korrekt geprüft werden: http://forenblogger.de/2005/10/26/ne...hler-in-phpbb/ (soll keine Werbung sein, aber ich habs schon mal zusammengetragen).

Betroffen ist der Internet Explorer bei Bildern (weil er mal wieder zu fehlertollerant ist).

Administratoren sollten deshalb entweder keine Bilder hochladen lassen oder aber Bilder auf Korrektheit prüfen.

Wurstbrot
  #2  
Alt 26.10.2005, 16:22
Benutzerbild von rellek
Das bin ich!
 
Registriert seit: 02.2004
Ort: 192.168.0.3
Beiträge: 986
.....


Geändert von rellek (08.05.2019 um 09:51 Uhr).
  #3  
Alt 26.10.2005, 16:26
Mitglied
 
Registriert seit: 09.2005
Ort: Ulm
Beiträge: 109
nur diejenigen, die Benutzerdaten nicht prüfen (was bei phpBB ja leider öfters vorkommt). Im Prinzip ist es ja nicht so schwierig die Daten zu prüfen. Wie du evtl. gelesen hast, sind ja nur GIF-Bilder betroffen. Diese kannst ja einlesen in PHP (file_get_contents) und prüfen, ob script-Befehle drin sind. Wenn ja, das Bild nicht zulassen. Fertig.

Wurstbrot

  #4  
Alt 26.10.2005, 16:29
Benutzerbild von rellek
Das bin ich!
 
Registriert seit: 02.2004
Ort: 192.168.0.3
Beiträge: 986
.....


Geändert von rellek (08.05.2019 um 09:51 Uhr).
  #5  
Alt 26.10.2005, 16:45
Mitglied
 
Registriert seit: 09.2005
Ort: Ulm
Beiträge: 109
Also ganz ehrlich. Das halte ich für grob fahrlässig. In meinem Forum wird kein einziger Inhalt extern bezogen (es sei denn, es ist explizit ein externer Link, auf den der User klicken muss). Mit der von dir genannten Praxis muss man ja mit Sicherheitsproblemen rechnen. Traffic hin oder her, aber das kann ja nicht sein.

Wurstbrot

  #6  
Alt 26.10.2005, 17:21
flx flx ist offline
punbb.info
 
Registriert seit: 10.2005
Beiträge: 9
die lücke lässt sich einfach schliessen mit:
Code:
if(@getimagesize($url) == FALSE)
           $url = 'img/warning.png';
fürs punBB gibts eine genaue Beschreibung des img tag exploits hier

  #7  
Alt 26.10.2005, 17:35
Benutzerbild von Acyd Burn
phpBB Lead Developer
 
Registriert seit: 09.2003
Ort: Oldenburg
Beiträge: 106
Betroffen von der IE-Sicherheitslücke sind alle programme die das hochladen von bildern erlauben. Punkt.

Aber was wird gemacht... laut losgeschrien das das phpBB ne Sicherheitslücke hat. Naja, man gewöhnt sich an alles.

Zitat:
Naja, aber das wird ja eben nicht gemacht, weil der Server dann alle Bilder saugen müsste und prüfen müsste, was eine größere Last und Traffic-Aufkommen zur Folge hat... (Jedenfalls war das die Begründung, warum mit getimagesize nicht arbeiten sollte, um zu verhindern, dass die Tabelle gesprengt wird)
Hä? ne, völlig falsch. Ich kann mir aber vorstellen was du meintest, nämlich das 2.0.x bei verlinkten avataren und Links zu Bildern nicht bei jedem Seitenaufruf das Bild prüft, da es den Server zum Stillstand bringen würde.

Zitat:
die lücke lässt sich einfach schliessen mit:

if(@getimagesize($url) == FALSE)
$url = 'img/warning.png';

fürs punBB gibts eine genaue Beschreibung des img tag exploits hier
Und wenn nachher jemand das bild auf seinem server austauscht? Oder stell dir vor jemand lädt ein Bild (.jpg z.B.) mit einem Image-Header hoch (z.B. ein korrekter GIF-Header)... getimagesize würde nicht false ausgeben... oder? Aber der IE macht dann was wundervolles, es führt die scripts darin aus.

Und ja, mit 2.0.18 werden auch wir in 2.0.x explizit auf den imagetype achten... und ja, wir wurden informiert, haben einen fix zusammengestellt und dem reporter gesagt das es mit 2.0.18 released wird. Was natürlich unerwartet kam ist das der reporter sofort losgegangen ist und es öffentlich gemacht hat (sein advisory)... damit werden wir ihn auch sicher nicht im changelog erwähnen.

Generell sollten die Browser-Entwickler (ok, Microsoft) die Lücke auch schliessen, denn sowas ist grob fahrlässig.

__________________
Meik Sievertsen
phpBB Development Team Leader
phpBB3 Development | phpBB / Projekte: mobilfunk-guenstiger | stromtarife vergleichen/wechseln
  #8  
Alt 26.10.2005, 17:39
flx flx ist offline
punbb.info
 
Registriert seit: 10.2005
Beiträge: 9
Zitat:
Zitat von Acyd Burn
Und wenn nachher jemand das bild auf seinem server austauscht? Oder stell dir vor jemand lädt ein Bild (.jpg z.B.) mit einem Image-Header hoch (z.B. ein korrekter GIF-Header)... getimagesize würde nicht false ausgeben... oder? Aber der IE macht dann was wundervolles, es führt die scripts darin aus.
hm.. das stimmt. wie will man es denn dann fixen?

  #9  
Alt 26.10.2005, 17:45
Benutzerbild von Björn
Boardunity Team
 
Registriert seit: 10.2003
Ort: Rhode
Beiträge: 1.205
Zitat:
Und wenn nachher jemand das bild auf seinem server austauscht?
Huhu
ich nutze zwar nicht das phpbb, sondern eine eigene kleine software.. ich les immer ganz gut bei anderen system mit bezüglich sicherheitslöcher um diese bei mir gleich zu stopfen..
also wenn ich das richtig verstehe steht in dem bild-source dann irgendwo drin
Code:
<script>alert('HAHA');</script>
und das wird dann vom IE ausgeführt wenn das bild eingebunden wird?? Aber das würde nur gehen wenns hochgeladen ist.. Und wie schütz ich mich da am besten vor?

bitte berichtigt mich falls meine vermutungen falsch sind bin dankbar mfg

Edit: so ich habs mir noch mal genau durchgelesen.. wenn ich es per <img src=".." /> einbinde, scheint nix zu passieren, erst wenn ich das bild so aufrufe im browser..

und wie prüfe ich es am besten auf unregelmäßigkeiten?? schauen ob ein "<script>" drin vorkommt???

__________________
Björn C. Klein
Welt-Held!
PunkRockNews.de
  #10  
Alt 26.10.2005, 17:48
Mitglied
 
Registriert seit: 09.2005
Ort: Ulm
Beiträge: 109
Zitat:
Betroffen von der IE-Sicherheitslücke sind alle programme die das hochladen von bildern erlauben. Punkt.
Nein, das stimmt nicht. Denn wenn ich ein Bild hochladen lasse, dann kann ich es auch prüfen. Ich muss es serverseitig nur öffnen und auf Unregelmäßigkeiten prüfen. Sollten die vorhanden sein, dann wird das Bild einfach nicht akzeptiert.

Dass Microsoft hier schlampig ist und auch nicht reagieren will, ist zwar typisch, denen sollte man dafür auf die Finger hauen. Das entschuldigt aber nicht, User-Daten nicht zu prüfen. Wenn man schon weiß, dass der Internet Explorer so fehlertollerant ist (was an sich ja gut ist), dann sollte man eben ALLE Daten, die vom User kommen, prüfen, also auch Bilder.

Wurstbrot

  #11  
Alt 26.10.2005, 17:50
Benutzerbild von rellek
Das bin ich!
 
Registriert seit: 02.2004
Ort: 192.168.0.3
Beiträge: 986
.....


Geändert von rellek (08.05.2019 um 09:51 Uhr).
  #12  
Alt 26.10.2005, 17:53
Mitglied
 
Registriert seit: 09.2005
Ort: Ulm
Beiträge: 109
Zitat:
Und wie schütz ich mich da am besten vor
Ganz einfach, du öffnest das Bild und speicherst dir den Inhalt in einer Variablen. Dann prüfst du, ob da "script" vorkommt, fertig.

Also praktisch so (von der Idee her):

PHP-Code:
$image file_get_contents($file);
if (
strstr($image"script")){
 
//fehlerhaftes Bild -> nicht akzeptieren -> löschen und Ausgabe an User
  // -> Protokoll Schreiben für Hack-Versuch - am Besten mit userID

Wurstbrot

  #13  
Alt 26.10.2005, 17:55
Mitglied
 
Registriert seit: 09.2005
Ort: Ulm
Beiträge: 109
Zitat:
Und das file_get_contents müsste ja entsprechend genauso arbeiten (Bild saugen, ankucken, auswerten)
Also ich weiß ja nicht, wie ihr da vorgeht. Aber ich lade das Bild einmal vom User, dann wird es auf dem Server gespeichert. Somit muss ich es nur beim Hochladen prüfen. Damit hält sich die Server-Belastung in Grenzen, es ist ja nicht so, dass jeden Tag alle user ein neues Bild hochladen. Externe Bilder einfach zu übernehmen halte ich wie gesagt für gewagt - wie sich jetzt eben zeigt.

Wurstbrot

  #14  
Alt 26.10.2005, 17:58
Benutzerbild von Acyd Burn
phpBB Lead Developer
 
Registriert seit: 09.2003
Ort: Oldenburg
Beiträge: 106
und wenn ich dann url-kodierung benutze? % und %% (falls % gefiltert wird)?

Wenn man fixt dann sollte man auch alle nur möglichen Eventualitäten durchspielen, es ist ja nicht so das man die Daten nicht prüft... es ist eher so das man immer wieder feststellt das man eine Sache (an die man nicht gedacht hat, oder die es zu dem Zeitpunkt einfach nicht gab) vergessen hat.

__________________
Meik Sievertsen
phpBB Development Team Leader
phpBB3 Development | phpBB / Projekte: mobilfunk-guenstiger | stromtarife vergleichen/wechseln
  #15  
Alt 26.10.2005, 17:59
Benutzerbild von Acyd Burn
phpBB Lead Developer
 
Registriert seit: 09.2003
Ort: Oldenburg
Beiträge: 106
Zitat:
Zitat von wurstbrot
Also ich weiß ja nicht, wie ihr da vorgeht. Aber ich lade das Bild einmal vom User, dann wird es auf dem Server gespeichert. Somit muss ich es nur beim Hochladen prüfen. Damit hält sich die Server-Belastung in Grenzen, es ist ja nicht so, dass jeden Tag alle user ein neues Bild hochladen. Externe Bilder einfach zu übernehmen halte ich wie gesagt für gewagt - wie sich jetzt eben zeigt.

Wurstbrot
Wir sprechen hier über Links. IMG-Tags, Remote-Avatare, etc.

__________________
Meik Sievertsen
phpBB Development Team Leader
phpBB3 Development | phpBB / Projekte: mobilfunk-guenstiger | stromtarife vergleichen/wechseln
  #16  
Alt 26.10.2005, 22:42
Benutzerbild von Scotty
Supergockel
 
Registriert seit: 12.2001
Ort: 16816 Neuruppin
Beiträge: 718
Zitat:
Zitat von Acyd Burn
Und ja, mit 2.0.18 werden auch wir in 2.0.x explizit auf den imagetype achten...
Wann ist mit der zu rechnen *liebschau*? Wird das dann ein aufwendiges Update?

__________________
Enrico Hahn
Scotty's .NET Projekte: StarTrek Infos X10b, e-hahn Updater 3.20, Easy Desktop Note 1.10
  #17  
Alt 26.10.2005, 23:18
Benutzerbild von Frederic Schneider
WoltLab Holzmichl
 
Registriert seit: 07.2003
Ort: Eschborn
Beiträge: 1.287
Acyd, bevor hier weiter gerätselt wird: Sage doch einfach, wie ihr vom phpBB Entwicklerteam das gelöst habt. Dann freuen sich auch gleich alle phpBB-Nutzer auf der Boardunity.

__________________
Frederic Schneider
WoltLab Team / WoltLab Wiki / GamePorts / Frederic Schneider / neuer-patriotismus.de
  #18  
Alt 27.10.2005, 06:50
Benutzerbild von MaMo
Viscacha Coder
 
Registriert seit: 09.2003
Beiträge: 812
Zitat:
Zitat von frederic
Sage doch einfach, wie ihr vom phpBB Entwicklerteam das gelöst habt. Dann freuen sich auch gleich alle phpBB-Nutzer auf der Boardunity.
Off-Topic:
Und auch ich als non-phpBBler - siehe PM, Acid

__________________
Forensoftware mit integriertem CMS: Viscacha 0.8!
  #19  
Alt 27.10.2005, 10:18
Benutzerbild von Acyd Burn
phpBB Lead Developer
 
Registriert seit: 09.2003
Ort: Oldenburg
Beiträge: 106
Zitat:
Zitat von Scotty
Wann ist mit der zu rechnen *liebschau*? Wird das dann ein aufwendiges Update?
Ja, es wird das aufwendigste Update. Wir haben ja seid 2.0.17 ein Team von Sicherheitsspezialisten ins Boot geholt die uns beim finden und beheben von Sicherheitslücken helfen (da wir manchmal auch nicht alles wissen können). Es wurde eine Menge präventiv gefixt, eine Menge Bugs wurden beseitigt und die Session/autologin Keys von Olympus wurden in 2.0.x eingebunden.

Das Avatar-Problem haben wir so gelöst das wir explizit auf den mime-typen prüfen. Wenn dieser mit der File-extension übereinstimmt und das Bild zudem größer 0 Byte ist (ein reines Script hat bei getimagesize immer 0 byte - das haben wir aber schon seid 2.0.17 drin gehabt) dann lassen wir es durch.

Was IMG-Tags und Links allgemein angeht haben wir noch keine Lösung gefunden, das Logout-Problem (also mit einem Bild einen logout zu produzieren) wurde auch gelöst indem wir explizit auf die session id (wie beim Moderator-Panel z.B.) prüfen. Das wird wahrscheinlich bei einigen 'Invalid_Session'-Fehler verursachen (AOL-Proxies)...


edit: Momentan testen wir 2.0.18 team-intern, von unserer audit-group und von dem internationalen supportern, sowie package maintainern (debian, gentoo...). Es wurden beim testen noch einige Dinge gefunden und ich hoffe mit dem Release spätestens in einer Woche.

__________________
Meik Sievertsen
phpBB Development Team Leader
phpBB3 Development | phpBB / Projekte: mobilfunk-guenstiger | stromtarife vergleichen/wechseln
  #20  
Alt 27.10.2005, 10:24
Benutzerbild von Scotty
Supergockel
 
Registriert seit: 12.2001
Ort: 16816 Neuruppin
Beiträge: 718
Zitat:
Zitat von Acyd Burn
Ja, es wird das aufwendigste Update...
Oha, das heißt wohl Nachtschicht, hoffentlich kommt es dann an einem Freitag raus . Einglück das ich es bei mir nicht so übertrieben habe mit den MOD Einbau…

__________________
Enrico Hahn
Scotty's .NET Projekte: StarTrek Infos X10b, e-hahn Updater 3.20, Easy Desktop Note 1.10
  #21  
Alt 27.10.2005, 11:46
Mitglied
 
Registriert seit: 09.2005
Ort: Ulm
Beiträge: 109
Hi,

was mich interessieren würde: was für Bugs waren noch drin. Nicht weil ich jetzt phpBB schlecht machen will (ich find es zugegebenermaßen recht gut), sondern weil ich denke, dass im eigenen Code mit Sicherheit auch die ein oder andere Sicherheitslücke schlummert. Würde mich deshalb interessieren, was genau war und wie ihr es behoben habt. Da wäre mit Sicherheit auch was für mich zu lernen.

Wurstbrot

  #22  
Alt 31.10.2005, 12:07
Benutzerbild von Scotty
Supergockel
 
Registriert seit: 12.2001
Ort: 16816 Neuruppin
Beiträge: 718
Zitat:
Zitat von Acyd Burn
edit: Momentan testen wir 2.0.18 team-intern, von unserer audit-group und von dem internationalen supportern, sowie package maintainern (debian, gentoo...). Es wurden beim testen noch einige Dinge gefunden und ich hoffe mit dem Release spätestens in einer Woche.
Ja nun ist es da , die veranlagte Stunde für den Einbau kann aber nicht euer ernst sein , ich hab 3 gebraucht, allein weil ich noch mal alles überprüft hab (sicher ist sicher). Dennoch es war heftig, nach dem Einbau war ich reif fürs bett .

Dank an euch, Respekt...

@wurstbrot
Kannst du hier nachlesen:
http://www.phpbb.com/phpBB/viewtopic.php?t=336756

__________________
Enrico Hahn
Scotty's .NET Projekte: StarTrek Infos X10b, e-hahn Updater 3.20, Easy Desktop Note 1.10
  #23  
Alt 31.10.2005, 12:45
Benutzerbild von rellek
Das bin ich!
 
Registriert seit: 02.2004
Ort: 192.168.0.3
Beiträge: 986
.....


Geändert von rellek (08.05.2019 um 09:51 Uhr).
  #24  
Alt 31.10.2005, 13:19
Benutzerbild von S2B
S2B S2B ist offline
phpBB2-Freak
 
Registriert seit: 07.2005
Beiträge: 10
Zitat:
Zitat von Scotty
Ja nun ist es da , die veranlagte Stunde für den Einbau kann aber nicht euer ernst sein , ich hab 3 gebraucht, allein weil ich noch mal alles überprüft hab (sicher ist sicher).
Bei mir waren es "nur" 1.5, ich habe es allerdings nicht noch einmal überprüft und habe zugegebenermaßen nicht immer mitgedacht. *g*

Zitat:
Zitat von Scotty
Dank an euch, Respekt...
Kann ich mich nur anschließen.

@Acyd: Vielleicht sollte man auf diese Stelle noch aufmerksam machen, das kommt nämlich mehrmals vor, auch wenn es "nur" 2 Möglichkeiten gibt.

__________________
Simon Praetorius
  #25  
Alt 31.10.2005, 13:47
Benutzerbild von Scotty
Supergockel
 
Registriert seit: 12.2001
Ort: 16816 Neuruppin
Beiträge: 718
Zitat:
Zitat von S2B
Vielleicht sollte man auf diese Stelle noch aufmerksam machen, das kommt nämlich mehrmals vor, auch wenn es "nur" 2 Möglichkeiten gibt.
Ja das hat mich auch verwirrt

Wer gestern Abend das Manuelle Update gemacht hat, muss da noch mal was machen, es wurde was vergessen:
http://www.phpbb.com/phpBB/viewtopic...834524#1834524

__________________
Enrico Hahn
Scotty's .NET Projekte: StarTrek Infos X10b, e-hahn Updater 3.20, Easy Desktop Note 1.10
Antwort


Stichworte
-

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
phpBB oder SMF? Windwalker Forensoftware 34 21.08.2008 03:03
Bundesrepublik Bergen (MN): neue Brüger gesucht Hans von Wurst Community Management, Administration und Moderation 16 13.05.2007 10:19
Das phpBB 2 Daniel Richter Erfahrungsberichte 57 21.04.2006 21:12
phpBB Community Coding Projekte itst Forensoftware 12 25.11.2005 15:01






1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24