Sicherheitslücken im wbb

Uns wurde gestern ein mögliches Sicherheitsloch in allen Burning Board und Burning Board Lite Versionen gemeldet. Wir haben als Reaktion darauf, im Mitgliederbereich für die Versionen 2.0.3, 2.1.5, 2.2.1 und 2.3.0 entsprechende Updates zur Verfügung gestellt. Der Download der korrigierten Burning Board Lite Version ist auf unserer Homepage unter Produkte -> Burning Board Lite zu finden. Aus Sicherheitsgründen ist die Durchführung des Updates dringend zu empfehlen. Mit freundlichen Grüßen, WoltLab GmbH

Und wo ist die Lücke?

Aber scheinbar nicht nur das wBB:
http://www.calophia.de/news/vbulletin-307.htm

Zum Glück ist nur eine Datei auszutauschen. Allerdings hat sich das im Supportforum scheinbar noch nicht so ganz rumgesprochen - alles schreit und zetert und fordert einen Changelog .

Die sind halt nur zu faul um in den Mitgliederbereich zu gehen und nachzuschauen, was überhaupt gemacht werden muss.

bis jettzt kenne ich keinen hack in dem man etwas an dieser datei hätte ändern müssen also ists selbst da nicht so schlimm als dass man dann wieder nen hack neu einbauen müsste.

Hm...
Schnell reagiert. Ich weiß jetzt wo der Fehler ist, und ich finde man sollte das Update machen.

.....

SQL-Injection

woltlab.de ist nicht erreichbar. Die wurden doch wohl nicht selber Opfer einer Attacke?

Der Grund steht hier.

Kann ich Euch auch nicht mehr sagen. Relleks Informationen stammen von mir. Ich weiss nur, das es Probleme mit der Datenbank gibt und das Marcel dran ist.

Sorry, aber einen Wert aus einem Cookie ungeprüft in einer Datenbankabfrage zu benutzen ist doch wirklich mehr als dämlich. Ich dachte, nachdem ich Woltlab Anfang 2003 darauf hingewiesen habe, dass auch $_SERVER validiert werden muss, wäre denen klar, dass nicht nur in $_GET und $_POST böser Code enthalten sein kann...

Im wBB 3 escapen wir alles direkt, dann sollte so etwas hoffentlich gar nicht mehr passieren.

Ähm nur mal so ne Frage, wie lange dauert das denn noch bis woltlab.de wieder on Air ist... sind ja jetzt schon annähernd 24 Stunden, weiss einer mehr?

Ich weiss nur, das gestern Abend der Zugriff auf den Server wieder ging. Habe seit dem Marcel aber nicht mehr gesprochen.

Ich nehme mal an, die haben über die Nacht geschlafen und am Morgen wieder angefangen.

Confixx funzt anscheinend wieder.

In letzter Zeit hatte bzw. hat WoltLab viele Probleme mit dem Server.

Hm, normalerweise führt man Arbeiten am Server über Nacht durch, so dass der Kunde so wenig wie möglich davon mitbekommt.

Und normalerweise macht man dann auch ne kleine Info Seite wanns weitergeht.. Was ist schon normal? :-)

.....

...ich denke auch mal, dass es sich hierbei nicht um normale Wartungsarbeiten handelt... denn welche Firma ist schon gerne so lange "offline"...?

Ich denke nicht, das Marcel im Moment Zeit hat, eine Offlineseite zu erstellen. Es gab / gibt Probleme mit dem Server und mit der Datenbank.
Habt einfach Geduld. Wir vom WoltLab Team müssen uns auch gedulden .

.....

Der Server ging doch bis vor wenigen Minuten überhaupt nicht richtig, Stefan.
Marcel gibt dazu noch ein Statement nachher ab, sagte er mir eben. Er ist nur zur Zeit beschäftigt.