Boardunity & Video Forum

Boardunity & Video Forum (https://boardunity.de/)
-   Forensoftware (https://boardunity.de/forensoftware-f5.html)
-   -   XSS-Exploit in phpBB 2.0.16 (https://boardunity.de/xss-exploit-phpbb-2-0-16-a-t3291.html)

Gérome 09.07.2005 13:10
XSS-Exploit in phpBB 2.0.16
 
Hallöle,

seit einigen Tagen ist ein Sicherheitsleck in phpBB 2.0.16 bekannt, welches einem Angreifer erlaubt, Javascript in Beiträge zu integrieren und so sicherheitsrelevante Daten nicht nur auszulesen, sondern auch an dritte Seiten weiterzuleiten.

Nun ist das mit den Sicherheitslecks immer so eine Sache ... liefere ich den Code dazu, der die Richtigkeit meiner Aussage beweist, so bekomme ich (zu Recht) Haue für die Veröffentlichung, liefere ich keinen Beweis für meine Aussage, so kommt schnell der Vorwurf, ich könne ja viel erzählen, wenn der Tag lang sei.

Im Zusammenarbeit von cBack (phpBB2.de), alcaeus (delphipraxis.net) und Christian (delphi-forum.de) wurde ein (logischerweise) inoffizieller (!!!) Hack entwickelt, der die Ausführung des eingeschleusten Codes unterbindet:
http://www.phpbb2.de/viewtopic.php?t=30123

Da diese Lücke existiert und die in einschlägigen Seiten kursierenden Exploits funktionieren, überrascht mich die Tatsache, dass die phpBB-Group nicht im Geringsten reagiert. Seit drei Tagen steht diese Meldung im phpBB-Bugtracker - hier haben sie uns in der Vergangenheit mit kürzeren Reaktionszeiten verwöhnt.

Sicherlich können psoTFX und Acyd nicht überall gleichzeitig sein - hier hätte ich mir jedoch klar eine schnellere Reaktion gewünscht. (Ja, auch wenn das phpBB kostenfrei ist, hätte ich mir diese schnellere Reaktion dennoch gewünscht.... :rolleyes: )


Gérome

Scotty 09.07.2005 14:26
Das lese ich zum ersten mal. Auf phpbb.de gibt’s dazu auch noch nix, nicht das ich wüsste.

D@ve 09.07.2005 15:28
Könntest Du mir das bitte mal per Mail zuschicken? Ich werde das mal ins Interna-Forum auf phpBB.de posten, vielleicht kann Meik dann was dazu sagen... (und wir haben morgen eine 2.0.17).

thx

Gruß, D@ve

Gérome 09.07.2005 15:31
Hallo D@ve,

das stand bei Euch bereits auf phpBB.de, ist dann aber von Sascha geschlossen worden. Ich ging jetzt davon aus, dass er den Thread in einen nicht-öffentlichen bereich verschoben hätte.

Ich suche den Link dennoch raus und sende ihn Dir per Mail zu. :-) Auf phpBB.com wird jedoch auch schon an einer offiziellen Lösung gearbeitet.

[edit]
Nachdem ich Deinem Profil hier keine EMail-Adresse entlocken konnte, ist das Ganze auf phpBB.de als PN an Dich gegangen
[/edit]

Scotty 10.07.2005 12:48
Also die vom phpbb.de raten jedenfalls davon ab diesen patch von euch einzubauen. Dieses Problem scheint auch weit weniger schlimm als oben beschrieben, ich warte da lieber auf einen offiziellen Fix.

Gérome 10.07.2005 14:33
Das ist und bleibt Deine Entscheidung als Webmaster. Ich kann aber schon verraten, dass der offizielle Patch nicht weit von unserer Lösung entfernt liegt.


Zitat:
Zitat von Scotty
[...]
Dieses Problem scheint auch weit weniger schlimm als oben beschrieben[...]
Die Schwere dieses Fehlers liegt im Auge des Betrachters. Wenn Dritte die Möglichkeit haben, Benutzeraccounts zu übernehmen - seien es die von Usern, Moders oder Admins, so halte ich persönlich dies für eine gravierende Lücke, die seitens des Betreibers eine frühestmögliche, sinnvolle Reaktion erfordert.


Gérome

Acyd Burn 13.07.2005 15:08
Den Exploit gibt es wirklich... er funktioniert nur im IE (es gab viele die gesagt haben das er bei ihnen nicht funktioniert).

Und ja, wir arbeiten daran. Diese Lücke ist kritisch, keine Frage. :) Aber wir haben in unseren Tests weitere "Probleme" offenlegen können die es nötig machen den Fix sehr sehr sorgfältig zu planen und ausgiebig zu testen. Wir haben ausserdem(?) dafür gesorgt das das "Problem" 2.0.x endlich in Angriff genommen wird, sozusagen an der Wurzel gepackt.

2.0.17 wird herauskommen, keine Frage, dies auch so schnell wie möglich (momentan sitzen die fähigsten Leute unseres Teams daran - also mehr Personen als normalerweise bei einem neuen Release involviert sind).


edit: Übrigens finde ich die Energien die in das Aufspüren von noch so kleinen Löchern gesteckt werden schon beängstigend - wenn man sich den Exploit mal anschaut... da muss doch ne Menge Arbeit drinstecken um so etwas herauszubekommen. Und dann noch posten ohne den Vendor zu informieren.
Manchmal habe ich das Gefühl das einige Gruppen/Personen schon von vornherein etwas gefunden haben aber extra auf ein neues Release warten um es dann direkt danach zu posten... und wer weiß, vielleicht haben sie ja irgendwann Erfolg und keiner hat mehr Bock phpBB weiterzumachen (was ich nicht hoffe - und was ja auch einer Kapitulation gleich käme).

rellek 13.07.2005 15:17
.....

Acyd Burn 13.07.2005 15:18
Zitat:
Zitat von rellek
Deutet das auf ein baldiges Release (einer Beta) vom phpBB3 hin? :D
phpBB3 ist davon erst einmal nicht betroffen. :D Da haben wir aber auch etwas vor:

http://www.starstreak.net/blog/2005/...hings-to-come/

Gérome 13.07.2005 17:45
Hört sich gut an. :-) Danke für das Statement.


Gérome

Jens* 18.07.2005 14:26
Und weiter gehts:
http://www.heise.de/newsticker/meldung/61794

Gérome 20.07.2005 08:04
.17er-Update ist draußen. :-)
Wie gewohnt unter: http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=308490

Scotty 20.07.2005 11:34
Jo, gab’s gestern Nacht. Das Patch File 2.0.16 zu 2.0.17,gab’s aber nur bei Acid Burne auf der HP. Hab das Update in der Nacht noch gemacht, hat alles funktioniert, war aufwendiger als ich dachte ;).


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:30 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25