Zur Boardunity Forenstartseite
  #1  
Alt 09.07.2005, 14:10
Benutzerbild von Gérome
*wurgelpurgel*
 
Registriert seit: 08.2003
Ort: Server-Raum im Keller
Beiträge: 243

XSS-Exploit in phpBB 2.0.16


Hallöle,

seit einigen Tagen ist ein Sicherheitsleck in phpBB 2.0.16 bekannt, welches einem Angreifer erlaubt, Javascript in Beiträge zu integrieren und so sicherheitsrelevante Daten nicht nur auszulesen, sondern auch an dritte Seiten weiterzuleiten.

Nun ist das mit den Sicherheitslecks immer so eine Sache ... liefere ich den Code dazu, der die Richtigkeit meiner Aussage beweist, so bekomme ich (zu Recht) Haue für die Veröffentlichung, liefere ich keinen Beweis für meine Aussage, so kommt schnell der Vorwurf, ich könne ja viel erzählen, wenn der Tag lang sei.

Im Zusammenarbeit von cBack (phpBB2.de), alcaeus (delphipraxis.net) und Christian (delphi-forum.de) wurde ein (logischerweise) inoffizieller (!!!) Hack entwickelt, der die Ausführung des eingeschleusten Codes unterbindet:
http://www.phpbb2.de/viewtopic.php?t=30123

Da diese Lücke existiert und die in einschlägigen Seiten kursierenden Exploits funktionieren, überrascht mich die Tatsache, dass die phpBB-Group nicht im Geringsten reagiert. Seit drei Tagen steht diese Meldung im phpBB-Bugtracker - hier haben sie uns in der Vergangenheit mit kürzeren Reaktionszeiten verwöhnt.

Sicherlich können psoTFX und Acyd nicht überall gleichzeitig sein - hier hätte ich mir jedoch klar eine schnellere Reaktion gewünscht. (Ja, auch wenn das phpBB kostenfrei ist, hätte ich mir diese schnellere Reaktion dennoch gewünscht.... )


Gérome
  #2  
Alt 09.07.2005, 15:26
Benutzerbild von Scotty
Supergockel
 
Registriert seit: 12.2001
Ort: 16816 Neuruppin
Beiträge: 718
Das lese ich zum ersten mal. Auf phpbb.de gibt’s dazu auch noch nix, nicht das ich wüsste.

__________________
Enrico Hahn
Scotty's .NET Projekte: StarTrek Infos X10b, e-hahn Updater 3.20, Easy Desktop Note 1.10
  #3  
Alt 09.07.2005, 16:28
Benutzerbild von D@ve
Kistenschlepper
 
Registriert seit: 02.2004
Ort: Bretzfeld D.C. (74*)
Beiträge: 10
Könntest Du mir das bitte mal per Mail zuschicken? Ich werde das mal ins Interna-Forum auf phpBB.de posten, vielleicht kann Meik dann was dazu sagen... (und wir haben morgen eine 2.0.17).

thx

Gruß, D@ve

__________________
Daniel Remmel
  #4  
Alt 09.07.2005, 16:31
Benutzerbild von Gérome
*wurgelpurgel*
 
Registriert seit: 08.2003
Ort: Server-Raum im Keller
Beiträge: 243
Hallo D@ve,

das stand bei Euch bereits auf phpBB.de, ist dann aber von Sascha geschlossen worden. Ich ging jetzt davon aus, dass er den Thread in einen nicht-öffentlichen bereich verschoben hätte.

Ich suche den Link dennoch raus und sende ihn Dir per Mail zu. :-) Auf phpBB.com wird jedoch auch schon an einer offiziellen Lösung gearbeitet.

[edit]
Nachdem ich Deinem Profil hier keine EMail-Adresse entlocken konnte, ist das Ganze auf phpBB.de als PN an Dich gegangen
[/edit]

  #5  
Alt 10.07.2005, 13:48
Benutzerbild von Scotty
Supergockel
 
Registriert seit: 12.2001
Ort: 16816 Neuruppin
Beiträge: 718
Also die vom phpbb.de raten jedenfalls davon ab diesen patch von euch einzubauen. Dieses Problem scheint auch weit weniger schlimm als oben beschrieben, ich warte da lieber auf einen offiziellen Fix.

__________________
Enrico Hahn
Scotty's .NET Projekte: StarTrek Infos X10b, e-hahn Updater 3.20, Easy Desktop Note 1.10
  #6  
Alt 10.07.2005, 15:33
Benutzerbild von Gérome
*wurgelpurgel*
 
Registriert seit: 08.2003
Ort: Server-Raum im Keller
Beiträge: 243
Das ist und bleibt Deine Entscheidung als Webmaster. Ich kann aber schon verraten, dass der offizielle Patch nicht weit von unserer Lösung entfernt liegt.


Zitat:
Zitat von Scotty
[...]
Dieses Problem scheint auch weit weniger schlimm als oben beschrieben[...]
Die Schwere dieses Fehlers liegt im Auge des Betrachters. Wenn Dritte die Möglichkeit haben, Benutzeraccounts zu übernehmen - seien es die von Usern, Moders oder Admins, so halte ich persönlich dies für eine gravierende Lücke, die seitens des Betreibers eine frühestmögliche, sinnvolle Reaktion erfordert.


Gérome

  #7  
Alt 13.07.2005, 16:08
Benutzerbild von Acyd Burn
phpBB Lead Developer
 
Registriert seit: 09.2003
Ort: Oldenburg
Beiträge: 106
Den Exploit gibt es wirklich... er funktioniert nur im IE (es gab viele die gesagt haben das er bei ihnen nicht funktioniert).

Und ja, wir arbeiten daran. Diese Lücke ist kritisch, keine Frage. Aber wir haben in unseren Tests weitere "Probleme" offenlegen können die es nötig machen den Fix sehr sehr sorgfältig zu planen und ausgiebig zu testen. Wir haben ausserdem(?) dafür gesorgt das das "Problem" 2.0.x endlich in Angriff genommen wird, sozusagen an der Wurzel gepackt.

2.0.17 wird herauskommen, keine Frage, dies auch so schnell wie möglich (momentan sitzen die fähigsten Leute unseres Teams daran - also mehr Personen als normalerweise bei einem neuen Release involviert sind).


edit: Übrigens finde ich die Energien die in das Aufspüren von noch so kleinen Löchern gesteckt werden schon beängstigend - wenn man sich den Exploit mal anschaut... da muss doch ne Menge Arbeit drinstecken um so etwas herauszubekommen. Und dann noch posten ohne den Vendor zu informieren.
Manchmal habe ich das Gefühl das einige Gruppen/Personen schon von vornherein etwas gefunden haben aber extra auf ein neues Release warten um es dann direkt danach zu posten... und wer weiß, vielleicht haben sie ja irgendwann Erfolg und keiner hat mehr Bock phpBB weiterzumachen (was ich nicht hoffe - und was ja auch einer Kapitulation gleich käme).

__________________
Meik Sievertsen
phpBB Development Team Leader
phpBB3 Development | phpBB / Projekte: mobilfunk-guenstiger | stromtarife vergleichen/wechseln
  #8  
Alt 13.07.2005, 16:17
Benutzerbild von rellek
Das bin ich!
 
Registriert seit: 02.2004
Ort: 192.168.0.3
Beiträge: 986
.....


Geändert von rellek (08.05.2019 um 09:43 Uhr).
  #9  
Alt 13.07.2005, 16:18
Benutzerbild von Acyd Burn
phpBB Lead Developer
 
Registriert seit: 09.2003
Ort: Oldenburg
Beiträge: 106
Zitat:
Zitat von rellek
Deutet das auf ein baldiges Release (einer Beta) vom phpBB3 hin?
phpBB3 ist davon erst einmal nicht betroffen. Da haben wir aber auch etwas vor:

http://www.starstreak.net/blog/2005/...hings-to-come/

__________________
Meik Sievertsen
phpBB Development Team Leader
phpBB3 Development | phpBB / Projekte: mobilfunk-guenstiger | stromtarife vergleichen/wechseln
  #10  
Alt 13.07.2005, 18:45
Benutzerbild von Gérome
*wurgelpurgel*
 
Registriert seit: 08.2003
Ort: Server-Raum im Keller
Beiträge: 243
Hört sich gut an. :-) Danke für das Statement.


Gérome

  #11  
Alt 18.07.2005, 15:26
Benutzerbild von Jens*
:-)
 
Registriert seit: 07.2003
Ort: Ljubljana
Beiträge: 515
Und weiter gehts:
http://www.heise.de/newsticker/meldung/61794

__________________
Jens
  #12  
Alt 20.07.2005, 09:04
Benutzerbild von Gérome
*wurgelpurgel*
 
Registriert seit: 08.2003
Ort: Server-Raum im Keller
Beiträge: 243
.17er-Update ist draußen. :-)
Wie gewohnt unter: http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=308490

  #13  
Alt 20.07.2005, 12:34
Benutzerbild von Scotty
Supergockel
 
Registriert seit: 12.2001
Ort: 16816 Neuruppin
Beiträge: 718
Jo, gab’s gestern Nacht. Das Patch File 2.0.16 zu 2.0.17,gab’s aber nur bei Acid Burne auf der HP. Hab das Update in der Nacht noch gemacht, hat alles funktioniert, war aufwendiger als ich dachte .

__________________
Enrico Hahn
Scotty's .NET Projekte: StarTrek Infos X10b, e-hahn Updater 3.20, Easy Desktop Note 1.10
Antwort


Stichworte
-

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Das phpBB 2 Daniel Richter Erfahrungsberichte 57 21.04.2006 21:12
Sammelstelle für phpBB 2.x Updates (aktuell: 2.0.17) MrNase Forensoftware 79 20.07.2005 12:59
Interview mit Acyd Burn Frederic Schneider Boardunity-Talk 23 05.02.2004 15:33
Meine Nachricht zur Sicherheit von phpBB in deren Forum gelöscht Saubloed Forensoftware 3 29.11.2003 20:57






1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25