phpBB-Module reißen Sicherheitslöcher auf

Beitrag von **Dungeonwatcher** » Mi 03.Mai, 2006 11:37

Hi!

Das ist zwar nicht wirklich Neues, aber die Nutzer von TopList und Advanced Guestbook sollten sich vergewissern, das in der php.ini das register_globals auf off steht.

Genaueres dazu steht in den Heise News.

Bye/2

Beitrag von **oxpus** » Mi 03.Mai, 2006 13:30

Tja, wenn diese auch schlampig programmiert sind...

Beitrag von **AmigaLink** » Mi 03.Mai, 2006 23:45

Also im bezug auf das Advanced Guestbook, wundert mich das ganze überhaupt nicht!
Das ist nämlich ein herkömmliches PHP Skript, das sehr schlecht ins phpBB integriert wurde!
Wie kann man auf die Idee kommen im Admin Ordner Files ab zu legen, die sogar von Gästen aufgerufen werden können?

Beitrag von **Christian_N** » Do 04.Mai, 2006 08:41

Ausserdem ist das eh nicht gerade sehr nett programmiert.
Zitat aus http://www.oxpus.de/viewtopic.php?p=30811#30811

modbo hat geschrieben:Folgendes ist einem meiner User aufgefallen, als er das Advanced Guestbook bei sich installiert wollte und es zu einer Fehlermeldung bei der Datenbankinstallation kam.
Benutzerspezifische Daten werden an die E-Mail Adresse bp135@bigfoot.com versendet. Die Adresse scheint aber nicht mehr zu existieren.

Vollständiger Text im oben genannten Link.

Dieser User der es Ihm in seinem Forum mitteilte war darmals ich.
Klar kann man diese E-Mail dann in seine eigene umändern, hatte auch er mir so dann mitgeteilt gehabt.
Aber finde es eine frechheit in eine Datei eine E-Mail rein zu setzen die bei einer Fehlermeldung Benutzerspezifische Daten verschickt, auch wenn ich es nur mitbekam da ich eine Mailer Damoen Mail bekam das diese scheinbar nicht mehr existiert, hatte ich darmals trotzdem sicherheitshalber meine daten alle geändert weil ich mir nicht sicher war wie weit er doch meine Daten bekam.

Ich finde aus diesem Grund gehört es eigentlich aus verkehr gezogen.

Beitrag von **cback** » Do 04.Mai, 2006 09:32

Schaut doch mal bei mir in den Blog oder auf mein Portal. Ich predige schon seit langem, man soll die MODs auf die gängigen Sicherheitslücken überprüfen...

Beitrag von **Christian_N** » Do 04.Mai, 2006 09:52

Hi cback das hab ich schon vor ein paar tage gelese, da wollt ich mich eh dann auf deinem forum mich nochmal in verbindung setzen, da ich den eintrag nicht so ganz verstande habe sind fachbegriffe drin die mir nichts sagen auf anhieb

und dann hab ich auch 2 oder 3 eigene PHP seite gemacht mit dem header/footer von phpBB forum, also keine MODs in den fall, wo dann ich auch da mich nochmal auf deiner seite/forum ggf. schlau machen muss obs richtig (sicherheitsmässig) programmiert sind.

Aber momentan habe ich leider keine Zeit, meine Fanclubseite steht sowas von hinten an da ich im totalen umzugstress bin, das die noch nicht mal die zeit besteht abzudaten wie auf phpBB 2.0.20 und den CrackerTracker auf 4.1.3 von 4.1.1

wobei ich glaube der noch schnell upgedatet wäre.

Naja hoffe das im Juni wieder alles ruhiger wird und dann ich mich wieder darum kümmern kann bis dahin hoff ich mal das mich die böse leute in ruhe lassen *zittert*

Beitrag von **oxpus** » Do 04.Mai, 2006 11:12

Naja hoffe das im Juni wieder alles ruhiger wird und dann ich mich wieder darum kümmern kann bis dahin hoff ich mal das mich die böse leute in ruhe lassen *zittert*

Ich drück Dir die Daumen.

Beitrag von **cback** » Do 04.Mai, 2006 11:27

Erster Hinweis auf dieses Kritische Teil am 27.4. als ich Orion 2.3.0 rausgebracht hab mit der neuen Sicherheitsarchitektur welche vor solchen Angriffen auch mit GLOBALS=ON abgesichert ist. Aber auf mich hört ja keiner. Schlimm, so viele Tage danach erst mal auf ner größeren Seite ein Hinweis.

¦4 ¦4 ¦4 ¦4 ¦4 ¦4

Beitrag von **Christian_N** » Do 04.Mai, 2006 12:51

Danke @oxpus

Tja, was will man da machen cback, ich habe den blog bei dir auch eher nur durch zufall gelesen gehabt vor paar tage, da ich auf andere boards selten bin, vieles tun ich lesen, schreiben usw.

oxpus.de is mein zuhause *ggg*