Sammelstelle für phpBB 2.x Updates (aktuell: 2.0.17)
 

Weitere Informationen hier: http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=302011

Passiert eben manchmal.
Ich entwickle selber Software und von daher haut es mich nicht aus den Latschen, dass da mal Fehler drin sind. Und wenn halt auch mal 'nen schwerer Fehler drin ist, dann ist's halt so. Die phpBB-Group hat rasch reagiert und jeder Webmaster, der sich seiner Rolle bewusst ist, wird den Patch eingespielt haben. (Ja, ich sehe es als Aufgabe der Admins, sich über sowas auf dem Laufenden zu halten.)




Grüße,
Gérome

Dummerweise wird die Schuld immer auf die Entwickler geschoben.. Anders als bei Software die daheim installiert werden muss gibt es nur wenige Möglichkeiten für einen Scriptentwickler sicherzustellen, dass seine Kunden (oder andere Besucher) alle Sicherheitsupdates durchführen. Helfen kann nur Aufklärung von daher dieses Thema.. Nicht damit jemand behauptet er hätte davon nix gewusst ;)

Hast' ja Recht. Aber auf wen sonst - auf mich selber? ;-) Je nach Vorhandensein könnte man es in Firmen auf die Qualitätskontrolle, den Projektleiter oder sonstwen schieben. Bringen tut's aber auch nix. *g*

Ist es für den Hersteller einer Software, die daheim installiert werden muß, wirklich so viel einfacher, die Installation von Updates sicherzustellen? Mir fallen spontan nur zwei Beispiele ein, bei denen dies zutreffen könnte: Bei Branchen-Software, wo Anwender und Herstellen oft einen vergleichsweise engen Kontakt haben und daher die Kommunikationswege relatv kurz sind oder aber bei Betriebssystemen, bei denen der Ausschalter für das 'Auto-Update' immer schwieriger zu finden ist. ;-)
In meinen Augen ist es dann wieder am Anwender, sich über etwaige Updates zu informieren oder eben auch nicht.

Goldrichtig. Darum freue ich mich auch immer über jede Mail von phpBB.de. Ich finde diesen eingeschlagenen Weg wirklich gut. Ich bin noch auf einer anderen Mailingliste, die angeblich über Neuigkeiten und Patches rund um phpBB berichten solle, aber dort herrscht so ein peinliches Schweigen. :mrgreen:


Grüße,
Gérome

Ich hätte ne bitte an itst oder alle die weitere Informationen haben.. Da ein Script, was unter anderem auch von mir entwickelt wird, mögliches Angriffsziel ist wären weitere Details zu der Sicherheitslücke mehr als vorteilhaft. Würd mich über ne detailierte Privatnachricht freuen :)

Was für eine ML soll das sein?

Dominik, was möchstest Du wissen, das nicht in den Statements bei uns im Forum beschrieben ist?

Schon http://www.phpbb.de/viewtopic.php?t=73335 gelesen?

Das ist doch wie bei den Sicherheitslücken bei Browsern. Das phpBB ist sehr weit verbreitet und wird daher halt entsprechend gern nach Fehlerquellen durchstöbert ... und da es auch nur von Menschen programmiert wird ...

Für eine kostenlose Forensoftware kann man den Programmierern keinerlei Vorwürfe machen. Es wird schnell reagiert und entsprechend informiert. Wer einen Sicherheitsupdate / -patch nicht installiert ist halt selbst schuld.

Ja, Sicherheitslücken gibt es immer wieder. Das ist eigentlich nicht zu verhindern. Die Qualität der Software kann man daran festmachen, wie schnell das Entwicklungsteam auf einen kritischen Fehler reagiert und wie schnell die Nutzer über so einen Fehler informiert werden. Wer dann die Sicherheitslücke noch immer ignoriert ist selber schuld.

Viele Grüße
hj

Danke, hatte ich nicht :)

Zum Glück wurde der Wurm gestoppt. Das ThWboard war zum Glück nicht, wie zuvor vermutet, betroffen :)

Heise: http://www.heise.de/newsticker/meldung/54550

Hat jemand eigentlich Screens von "umgestalteten" Seiten sichten können?

Würde mich mal interessieren, was aus den betroffenen Seiten gemacht wurde.

.....

Ich denke es wurde schon alles gesagt zu dem Thema.
Das Sicherhetislecks beim phpBB auftreten ist völlig normal. Das passiert bei anderen Softwares auch. Nur da fällt es u.U. nicht so schnell auf, weil phpBB halt sehr weit verbreitet ist.

Alles halb so schlimm.

hmmm. Der 'Spaß' geht weiter und der Wurm in eine zweite, noch aggressivere Runde:
http://www.heise.de/newsticker/meldung/54623.

Wir haben aktuell 500 User online. :wall: Dafür hält sich der Server aber recht wacker. Andere hatten das dreifache an Ansturm und deren Server hat direkt die Schotten dicht gemacht.

Also bei aller Liebe zum phpBB - ich muss mal im stillen Kämmerlei darüber nachdenken, die Info, dass es ein phpBB ist, in eine kleine Grafik zu packen. Dann kann sie künftig wenigstens nicht mehr gespidert werden.


Grüße,
Gérome

Das sollte doch nichts bringen, da der Wurm die Seiten über Google mit inurl:viewtopic.php sucht, oder?

Edit: Ja, tut er ...

$procura = "inurl:viewtopic.php?t=$numero";

Ich hatte folgende .htaccess für euch.. Vielleicht bringt es ja besserung :)

Andere Methode wäre ein kompletter Referal-Ban der Domain http://www.visualcoders.net/

Hat das phpBB denn noch keine IP Flood Protection drinnen? Die sollte eigentlich der hohen Belastung vorbeugen. (Vorausgesetzt viele Anfragen kommen von wenigen IPs.)

Moin Dominik,

besten Dank für Deinen Hinweis mit dem .htaccess-Schnipsel. Ich hatte wenige Minuten zuvor jedoch schon einen Schnibbel bei phpBB.de gefunden. Im Prinzip läuft es in beiden Lösungen auf das Blocken des in diesem Fall offenbar typischen User-Agents "LW-sowieso" heraus.

Seither herrscht wieder eine wundervolle Stille im Forum, so dass man sogar die Festplatten des Servers surren hören kann. ;-)



Grüße,
Gérome

Schon wieder ein neuer Wurm? Man, dass nimmt ja gar kein Ende.
Ein paar Gedanken dazu in meinem neuen Blog ;)

Kann es sein, dass phpbb.de betroffen ist? Kann die Seite nicht aufrugen.

Ist noch unklar. Der Server ist unter sehr hohen Lastspitzen zusammengebrochen wie ich das mitbekommen habe. Wie das nun zustande gekommen ist weiß man noch nicht. Die Leute arbeiten gerade an dem Problem. Kann aber wohl noch etwas dauern.

Wie kann eigentlich ein Server unter Last kaputt gehen? Hardwarefehler? Fehlerhafte Server-Software? Ich kann mir das nicht so recht vorstellen. Eigentlich dürfte bei hoher Last doch alles nur sehr sehr langsam werden, wodurch Clients dann nen Timeout anzeigen, aber wenn die Last wieder weg ist, sollte alles wieder laufen. Kann mir das einer erklären?

.....

edit (doppelpost)

phpbb.de ist schon wieder down. :-(

mfg