#1
| |||
| |||
neue Sicherheitslücke in phpBBHallo, damit niemand unaufgeklärt bleibt: es gibt eine neue Sicherheitslücke in phpBB, weil wieder Daten nicht korrekt geprüft werden: http://forenblogger.de/2005/10/26/ne...hler-in-phpbb/ (soll keine Werbung sein, aber ich habs schon mal zusammengetragen). Betroffen ist der Internet Explorer bei Bildern (weil er mal wieder zu fehlertollerant ist). Administratoren sollten deshalb entweder keine Bilder hochladen lassen oder aber Bilder auf Korrektheit prüfen. Wurstbrot |
#2
| ||||
| ||||
..... Geändert von rellek (08.05.2019 um 09:51 Uhr). |
#3
| |||
| |||
nur diejenigen, die Benutzerdaten nicht prüfen (was bei phpBB ja leider öfters vorkommt). Im Prinzip ist es ja nicht so schwierig die Daten zu prüfen. Wie du evtl. gelesen hast, sind ja nur GIF-Bilder betroffen. Diese kannst ja einlesen in PHP (file_get_contents) und prüfen, ob script-Befehle drin sind. Wenn ja, das Bild nicht zulassen. Fertig. Wurstbrot |
#4
| ||||
| ||||
..... Geändert von rellek (08.05.2019 um 09:51 Uhr). |
#5
| |||
| |||
Also ganz ehrlich. Das halte ich für grob fahrlässig. In meinem Forum wird kein einziger Inhalt extern bezogen (es sei denn, es ist explizit ein externer Link, auf den der User klicken muss). Mit der von dir genannten Praxis muss man ja mit Sicherheitsproblemen rechnen. Traffic hin oder her, aber das kann ja nicht sein. Wurstbrot |
#6
| |||
| |||
die lücke lässt sich einfach schliessen mit: Code: if(@getimagesize($url) == FALSE) $url = 'img/warning.png'; |
#7
| ||||
| ||||
Betroffen von der IE-Sicherheitslücke sind alle programme die das hochladen von bildern erlauben. Punkt. Aber was wird gemacht... laut losgeschrien das das phpBB ne Sicherheitslücke hat. Naja, man gewöhnt sich an alles. Zitat:
Zitat:
Und ja, mit 2.0.18 werden auch wir in 2.0.x explizit auf den imagetype achten... und ja, wir wurden informiert, haben einen fix zusammengestellt und dem reporter gesagt das es mit 2.0.18 released wird. Was natürlich unerwartet kam ist das der reporter sofort losgegangen ist und es öffentlich gemacht hat (sein advisory)... damit werden wir ihn auch sicher nicht im changelog erwähnen. Generell sollten die Browser-Entwickler (ok, Microsoft) die Lücke auch schliessen, denn sowas ist grob fahrlässig. __________________ Meik Sievertsen phpBB Development Team Leader phpBB3 Development | phpBB / Projekte: mobilfunk-guenstiger | stromtarife vergleichen/wechseln |
#8
| |||
| |||
Zitat:
|
#9
| ||||
| ||||
Zitat:
ich nutze zwar nicht das phpbb, sondern eine eigene kleine software.. ich les immer ganz gut bei anderen system mit bezüglich sicherheitslöcher um diese bei mir gleich zu stopfen.. also wenn ich das richtig verstehe steht in dem bild-source dann irgendwo drin Code: <script>alert('HAHA');</script> bitte berichtigt mich falls meine vermutungen falsch sind bin dankbar mfg Edit: so ich habs mir noch mal genau durchgelesen.. wenn ich es per <img src=".." /> einbinde, scheint nix zu passieren, erst wenn ich das bild so aufrufe im browser.. und wie prüfe ich es am besten auf unregelmäßigkeiten?? schauen ob ein "<script>" drin vorkommt??? __________________ Björn C. Klein Welt-Held! PunkRockNews.de |
#10
| |||
| |||
Zitat:
Dass Microsoft hier schlampig ist und auch nicht reagieren will, ist zwar typisch, denen sollte man dafür auf die Finger hauen. Das entschuldigt aber nicht, User-Daten nicht zu prüfen. Wenn man schon weiß, dass der Internet Explorer so fehlertollerant ist (was an sich ja gut ist), dann sollte man eben ALLE Daten, die vom User kommen, prüfen, also auch Bilder. Wurstbrot |
#11
| ||||
| ||||
..... Geändert von rellek (08.05.2019 um 09:51 Uhr). |
#12
| |||
| |||
Zitat:
Also praktisch so (von der Idee her): PHP-Code: |
#13
| |||
| |||
Zitat:
Wurstbrot |
#14
| ||||
| ||||
und wenn ich dann url-kodierung benutze? % und %% (falls % gefiltert wird)? Wenn man fixt dann sollte man auch alle nur möglichen Eventualitäten durchspielen, es ist ja nicht so das man die Daten nicht prüft... es ist eher so das man immer wieder feststellt das man eine Sache (an die man nicht gedacht hat, oder die es zu dem Zeitpunkt einfach nicht gab) vergessen hat. __________________ Meik Sievertsen phpBB Development Team Leader phpBB3 Development | phpBB / Projekte: mobilfunk-guenstiger | stromtarife vergleichen/wechseln |
#15
| ||||
| ||||
Zitat:
__________________ Meik Sievertsen phpBB Development Team Leader phpBB3 Development | phpBB / Projekte: mobilfunk-guenstiger | stromtarife vergleichen/wechseln |
#16
| ||||
| ||||
Zitat:
__________________ Enrico Hahn |
#17
| ||||
| ||||
Acyd, bevor hier weiter gerätselt wird: Sage doch einfach, wie ihr vom phpBB Entwicklerteam das gelöst habt. Dann freuen sich auch gleich alle phpBB-Nutzer auf der Boardunity. __________________ Frederic Schneider WoltLab Team / WoltLab Wiki / GamePorts / Frederic Schneider / neuer-patriotismus.de |
#18
| ||||
| ||||
Zitat:
Off-Topic: Und auch ich als non-phpBBler - siehe PM, Acid __________________ Forensoftware mit integriertem CMS: Viscacha 0.8! |
#19
| ||||
| ||||
Zitat:
Das Avatar-Problem haben wir so gelöst das wir explizit auf den mime-typen prüfen. Wenn dieser mit der File-extension übereinstimmt und das Bild zudem größer 0 Byte ist (ein reines Script hat bei getimagesize immer 0 byte - das haben wir aber schon seid 2.0.17 drin gehabt) dann lassen wir es durch. Was IMG-Tags und Links allgemein angeht haben wir noch keine Lösung gefunden, das Logout-Problem (also mit einem Bild einen logout zu produzieren) wurde auch gelöst indem wir explizit auf die session id (wie beim Moderator-Panel z.B.) prüfen. Das wird wahrscheinlich bei einigen 'Invalid_Session'-Fehler verursachen (AOL-Proxies)... edit: Momentan testen wir 2.0.18 team-intern, von unserer audit-group und von dem internationalen supportern, sowie package maintainern (debian, gentoo...). Es wurden beim testen noch einige Dinge gefunden und ich hoffe mit dem Release spätestens in einer Woche. __________________ Meik Sievertsen phpBB Development Team Leader phpBB3 Development | phpBB / Projekte: mobilfunk-guenstiger | stromtarife vergleichen/wechseln |
#20
| ||||
| ||||
Zitat:
__________________ Enrico Hahn |
#21
| |||
| |||
Hi, was mich interessieren würde: was für Bugs waren noch drin. Nicht weil ich jetzt phpBB schlecht machen will (ich find es zugegebenermaßen recht gut), sondern weil ich denke, dass im eigenen Code mit Sicherheit auch die ein oder andere Sicherheitslücke schlummert. Würde mich deshalb interessieren, was genau war und wie ihr es behoben habt. Da wäre mit Sicherheit auch was für mich zu lernen. Wurstbrot |
#22
| ||||
| ||||
Zitat:
Dank an euch, Respekt... @wurstbrot Kannst du hier nachlesen: http://www.phpbb.com/phpBB/viewtopic.php?t=336756 __________________ Enrico Hahn |
#23
| ||||
| ||||
..... Geändert von rellek (08.05.2019 um 09:51 Uhr). |
#24
| ||||
| ||||
Zitat:
Zitat:
@Acyd: Vielleicht sollte man auf diese Stelle noch aufmerksam machen, das kommt nämlich mehrmals vor, auch wenn es "nur" 2 Möglichkeiten gibt. __________________ Simon Praetorius |
#25
| ||||
| ||||
Zitat:
Wer gestern Abend das Manuelle Update gemacht hat, muss da noch mal was machen, es wurde was vergessen: http://www.phpbb.com/phpBB/viewtopic...834524#1834524 __________________ Enrico Hahn |
Stichworte |
- |
Themen-Optionen | |
Thema bewerten | |
Ähnliche Themen | ||||
Thema | Autor | Forum | Antworten | Letzter Beitrag |
phpBB oder SMF? | Windwalker | Forensoftware | 34 | 21.08.2008 03:03 |
Bundesrepublik Bergen (MN): neue Brüger gesucht | Hans von Wurst | Community Management, Administration und Moderation | 16 | 13.05.2007 10:19 |
Das phpBB 2 | Daniel Richter | Erfahrungsberichte | 57 | 21.04.2006 21:12 |
phpBB Community Coding Projekte | itst | Forensoftware | 12 | 25.11.2005 15:01 |