phpBB-Module reißen Sicherheitslöcher auf
- Dungeonwatcher
- Beiträge: 1055
- Registriert: Sa 19.Feb, 2005 01:16
- Wohnort: Berlin
- Kontaktdaten:
phpBB-Module reißen Sicherheitslöcher auf
Hi!
Das ist zwar nicht wirklich Neues, aber die Nutzer von TopList und Advanced Guestbook sollten sich vergewissern, das in der php.ini das register_globals auf off steht.
Genaueres dazu steht in den Heise News.
Bye/2
Das ist zwar nicht wirklich Neues, aber die Nutzer von TopList und Advanced Guestbook sollten sich vergewissern, das in der php.ini das register_globals auf off steht.
Genaueres dazu steht in den Heise News.
Bye/2
Also im bezug auf das Advanced Guestbook, wundert mich das ganze überhaupt nicht!
Das ist nämlich ein herkömmliches PHP Skript, das sehr schlecht ins phpBB integriert wurde!
Wie kann man auf die Idee kommen im Admin Ordner Files ab zu legen, die sogar von Gästen aufgerufen werden können?
Das ist nämlich ein herkömmliches PHP Skript, das sehr schlecht ins phpBB integriert wurde!
Wie kann man auf die Idee kommen im Admin Ordner Files ab zu legen, die sogar von Gästen aufgerufen werden können?
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________
Kein Support per PM, ICQ oder eMail!!![/center]
______________________________________
Kein Support per PM, ICQ oder eMail!!![/center]
- Christian_N
- Beiträge: 1787
- Registriert: Sa 19.Feb, 2005 21:48
- Wohnort: Frankfurt am Main
- Kontaktdaten:
Ausserdem ist das eh nicht gerade sehr nett programmiert.
Zitat aus http://www.oxpus.de/viewtopic.php?p=30811#30811
Dieser User der es Ihm in seinem Forum mitteilte war darmals ich.
Klar kann man diese E-Mail dann in seine eigene umändern, hatte auch er mir so dann mitgeteilt gehabt.
Aber finde es eine frechheit in eine Datei eine E-Mail rein zu setzen die bei einer Fehlermeldung Benutzerspezifische Daten verschickt, auch wenn ich es nur mitbekam da ich eine Mailer Damoen Mail bekam das diese scheinbar nicht mehr existiert, hatte ich darmals trotzdem sicherheitshalber meine daten alle geändert weil ich mir nicht sicher war wie weit er doch meine Daten bekam.
Ich finde aus diesem Grund gehört es eigentlich aus verkehr gezogen.
Zitat aus http://www.oxpus.de/viewtopic.php?p=30811#30811
Vollständiger Text im oben genannten Link.modbo hat geschrieben:Folgendes ist einem meiner User aufgefallen, als er das Advanced Guestbook bei sich installiert wollte und es zu einer Fehlermeldung bei der Datenbankinstallation kam.
Benutzerspezifische Daten werden an die E-Mail Adresse bp135@bigfoot.com versendet. Die Adresse scheint aber nicht mehr zu existieren.
Dieser User der es Ihm in seinem Forum mitteilte war darmals ich.
Klar kann man diese E-Mail dann in seine eigene umändern, hatte auch er mir so dann mitgeteilt gehabt.
Aber finde es eine frechheit in eine Datei eine E-Mail rein zu setzen die bei einer Fehlermeldung Benutzerspezifische Daten verschickt, auch wenn ich es nur mitbekam da ich eine Mailer Damoen Mail bekam das diese scheinbar nicht mehr existiert, hatte ich darmals trotzdem sicherheitshalber meine daten alle geändert weil ich mir nicht sicher war wie weit er doch meine Daten bekam.
Ich finde aus diesem Grund gehört es eigentlich aus verkehr gezogen.
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
- Christian_N
- Beiträge: 1787
- Registriert: Sa 19.Feb, 2005 21:48
- Wohnort: Frankfurt am Main
- Kontaktdaten:
Hi cback das hab ich schon vor ein paar tage gelese, da wollt ich mich eh dann auf deinem forum mich nochmal in verbindung setzen, da ich den eintrag nicht so ganz verstande habe sind fachbegriffe drin die mir nichts sagen auf anhieb und dann hab ich auch 2 oder 3 eigene PHP seite gemacht mit dem header/footer von phpBB forum, also keine MODs in den fall, wo dann ich auch da mich nochmal auf deiner seite/forum ggf. schlau machen muss obs richtig (sicherheitsmässig) programmiert sind.
Aber momentan habe ich leider keine Zeit, meine Fanclubseite steht sowas von hinten an da ich im totalen umzugstress bin, das die noch nicht mal die zeit besteht abzudaten wie auf phpBB 2.0.20 und den CrackerTracker auf 4.1.3 von 4.1.1 wobei ich glaube der noch schnell upgedatet wäre.
Naja hoffe das im Juni wieder alles ruhiger wird und dann ich mich wieder darum kümmern kann bis dahin hoff ich mal das mich die böse leute in ruhe lassen *zittert*
Aber momentan habe ich leider keine Zeit, meine Fanclubseite steht sowas von hinten an da ich im totalen umzugstress bin, das die noch nicht mal die zeit besteht abzudaten wie auf phpBB 2.0.20 und den CrackerTracker auf 4.1.3 von 4.1.1 wobei ich glaube der noch schnell upgedatet wäre.
Naja hoffe das im Juni wieder alles ruhiger wird und dann ich mich wieder darum kümmern kann bis dahin hoff ich mal das mich die böse leute in ruhe lassen *zittert*
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Ich drück Dir die Daumen.Naja hoffe das im Juni wieder alles ruhiger wird und dann ich mich wieder darum kümmern kann bis dahin hoff ich mal das mich die böse leute in ruhe lassen *zittert*
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Erster Hinweis auf dieses Kritische Teil am 27.4. als ich Orion 2.3.0 rausgebracht hab mit der neuen Sicherheitsarchitektur welche vor solchen Angriffen auch mit GLOBALS=ON abgesichert ist. Aber auf mich hört ja keiner. Schlimm, so viele Tage danach erst mal auf ner größeren Seite ein Hinweis.
¦4 ¦4 ¦4 ¦4 ¦4 ¦4
¦4 ¦4 ¦4 ¦4 ¦4 ¦4
- Christian_N
- Beiträge: 1787
- Registriert: Sa 19.Feb, 2005 21:48
- Wohnort: Frankfurt am Main
- Kontaktdaten:
Danke @oxpus
Tja, was will man da machen cback, ich habe den blog bei dir auch eher nur durch zufall gelesen gehabt vor paar tage, da ich auf andere boards selten bin, vieles tun ich lesen, schreiben usw.
oxpus.de is mein zuhause *ggg*
Tja, was will man da machen cback, ich habe den blog bei dir auch eher nur durch zufall gelesen gehabt vor paar tage, da ich auf andere boards selten bin, vieles tun ich lesen, schreiben usw.
oxpus.de is mein zuhause *ggg*
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt