#1
| ||||
| ||||
XSS-Exploit in phpBB 2.0.16Hallöle, seit einigen Tagen ist ein Sicherheitsleck in phpBB 2.0.16 bekannt, welches einem Angreifer erlaubt, Javascript in Beiträge zu integrieren und so sicherheitsrelevante Daten nicht nur auszulesen, sondern auch an dritte Seiten weiterzuleiten. Nun ist das mit den Sicherheitslecks immer so eine Sache ... liefere ich den Code dazu, der die Richtigkeit meiner Aussage beweist, so bekomme ich (zu Recht) Haue für die Veröffentlichung, liefere ich keinen Beweis für meine Aussage, so kommt schnell der Vorwurf, ich könne ja viel erzählen, wenn der Tag lang sei. Im Zusammenarbeit von cBack (phpBB2.de), alcaeus (delphipraxis.net) und Christian (delphi-forum.de) wurde ein (logischerweise) inoffizieller (!!!) Hack entwickelt, der die Ausführung des eingeschleusten Codes unterbindet: http://www.phpbb2.de/viewtopic.php?t=30123 Da diese Lücke existiert und die in einschlägigen Seiten kursierenden Exploits funktionieren, überrascht mich die Tatsache, dass die phpBB-Group nicht im Geringsten reagiert. Seit drei Tagen steht diese Meldung im phpBB-Bugtracker - hier haben sie uns in der Vergangenheit mit kürzeren Reaktionszeiten verwöhnt. Sicherlich können psoTFX und Acyd nicht überall gleichzeitig sein - hier hätte ich mir jedoch klar eine schnellere Reaktion gewünscht. (Ja, auch wenn das phpBB kostenfrei ist, hätte ich mir diese schnellere Reaktion dennoch gewünscht.... ) Gérome |
#2
| ||||
| ||||
Das lese ich zum ersten mal. Auf phpbb.de gibt’s dazu auch noch nix, nicht das ich wüsste. __________________ Enrico Hahn |
#3
| ||||
| ||||
Könntest Du mir das bitte mal per Mail zuschicken? Ich werde das mal ins Interna-Forum auf phpBB.de posten, vielleicht kann Meik dann was dazu sagen... (und wir haben morgen eine 2.0.17). thx Gruß, D@ve __________________ Daniel Remmel |
#4
| ||||
| ||||
Hallo D@ve, das stand bei Euch bereits auf phpBB.de, ist dann aber von Sascha geschlossen worden. Ich ging jetzt davon aus, dass er den Thread in einen nicht-öffentlichen bereich verschoben hätte. Ich suche den Link dennoch raus und sende ihn Dir per Mail zu. :-) Auf phpBB.com wird jedoch auch schon an einer offiziellen Lösung gearbeitet. [edit] Nachdem ich Deinem Profil hier keine EMail-Adresse entlocken konnte, ist das Ganze auf phpBB.de als PN an Dich gegangen [/edit] |
#5
| ||||
| ||||
Also die vom phpbb.de raten jedenfalls davon ab diesen patch von euch einzubauen. Dieses Problem scheint auch weit weniger schlimm als oben beschrieben, ich warte da lieber auf einen offiziellen Fix. __________________ Enrico Hahn |
#6
| ||||
| ||||
Das ist und bleibt Deine Entscheidung als Webmaster. Ich kann aber schon verraten, dass der offizielle Patch nicht weit von unserer Lösung entfernt liegt. Zitat:
Gérome |
#7
| ||||
| ||||
Den Exploit gibt es wirklich... er funktioniert nur im IE (es gab viele die gesagt haben das er bei ihnen nicht funktioniert). Und ja, wir arbeiten daran. Diese Lücke ist kritisch, keine Frage. Aber wir haben in unseren Tests weitere "Probleme" offenlegen können die es nötig machen den Fix sehr sehr sorgfältig zu planen und ausgiebig zu testen. Wir haben ausserdem(?) dafür gesorgt das das "Problem" 2.0.x endlich in Angriff genommen wird, sozusagen an der Wurzel gepackt. 2.0.17 wird herauskommen, keine Frage, dies auch so schnell wie möglich (momentan sitzen die fähigsten Leute unseres Teams daran - also mehr Personen als normalerweise bei einem neuen Release involviert sind). edit: Übrigens finde ich die Energien die in das Aufspüren von noch so kleinen Löchern gesteckt werden schon beängstigend - wenn man sich den Exploit mal anschaut... da muss doch ne Menge Arbeit drinstecken um so etwas herauszubekommen. Und dann noch posten ohne den Vendor zu informieren. Manchmal habe ich das Gefühl das einige Gruppen/Personen schon von vornherein etwas gefunden haben aber extra auf ein neues Release warten um es dann direkt danach zu posten... und wer weiß, vielleicht haben sie ja irgendwann Erfolg und keiner hat mehr Bock phpBB weiterzumachen (was ich nicht hoffe - und was ja auch einer Kapitulation gleich käme). __________________ Meik Sievertsen phpBB Development Team Leader phpBB3 Development | phpBB / Projekte: mobilfunk-guenstiger | stromtarife vergleichen/wechseln |
#8
| ||||
| ||||
..... Geändert von rellek (08.05.2019 um 09:43 Uhr). |
#9
| ||||
| ||||
Zitat:
http://www.starstreak.net/blog/2005/...hings-to-come/ __________________ Meik Sievertsen phpBB Development Team Leader phpBB3 Development | phpBB / Projekte: mobilfunk-guenstiger | stromtarife vergleichen/wechseln |
#10
| ||||
| ||||
Hört sich gut an. :-) Danke für das Statement. Gérome |
#11
| ||||
| ||||
Und weiter gehts: http://www.heise.de/newsticker/meldung/61794 __________________ Jens |
#12
| ||||
| ||||
.17er-Update ist draußen. :-) Wie gewohnt unter: http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=308490 |
#13
| ||||
| ||||
Jo, gab’s gestern Nacht. Das Patch File 2.0.16 zu 2.0.17,gab’s aber nur bei Acid Burne auf der HP. Hab das Update in der Nacht noch gemacht, hat alles funktioniert, war aufwendiger als ich dachte . __________________ Enrico Hahn |
Stichworte |
- |
Ähnliche Themen | ||||
Thema | Autor | Forum | Antworten | Letzter Beitrag |
Das phpBB 2 | Daniel Richter | Erfahrungsberichte | 57 | 21.04.2006 21:12 |
Sammelstelle für phpBB 2.x Updates (aktuell: 2.0.17) | MrNase | Forensoftware | 79 | 20.07.2005 12:59 |
Interview mit Acyd Burn | Frederic Schneider | Boardunity-Talk | 23 | 05.02.2004 15:33 |
Meine Nachricht zur Sicherheit von phpBB in deren Forum gelöscht | Saubloed | Forensoftware | 3 | 29.11.2003 20:57 |