Seite 1 von 1
phpBB-Module reißen Sicherheitslöcher auf
Verfasst: Mi 03.Mai, 2006 11:37
von Dungeonwatcher
Hi!
Das ist zwar nicht wirklich Neues, aber die Nutzer von
TopList und
Advanced Guestbook sollten sich vergewissern, das in der
php.ini das
register_globals auf
off steht.
Genaueres dazu steht in den
Heise News.
Bye/2
Verfasst: Mi 03.Mai, 2006 13:30
von oxpus
Tja, wenn diese auch schlampig programmiert sind...
Verfasst: Mi 03.Mai, 2006 23:45
von AmigaLink
Also im bezug auf das Advanced Guestbook, wundert mich das ganze überhaupt nicht!
Das ist nämlich ein herkömmliches PHP Skript, das sehr schlecht ins phpBB integriert wurde!
Wie kann man auf die Idee kommen im Admin Ordner Files ab zu legen, die sogar von Gästen aufgerufen werden können?
Verfasst: Do 04.Mai, 2006 08:41
von Christian_N
Ausserdem ist das eh nicht gerade sehr nett programmiert.
Zitat aus
http://www.oxpus.de/viewtopic.php?p=30811#30811
modbo hat geschrieben:Folgendes ist einem meiner User aufgefallen, als er das Advanced Guestbook bei sich installiert wollte und es zu einer Fehlermeldung bei der Datenbankinstallation kam.
Benutzerspezifische Daten werden an die E-Mail Adresse
bp135@bigfoot.com versendet. Die Adresse scheint aber nicht mehr zu existieren.
Vollständiger Text im oben genannten Link.
Dieser User der es Ihm in seinem Forum mitteilte war darmals ich.
Klar kann man diese E-Mail dann in seine eigene umändern, hatte auch er mir so dann mitgeteilt gehabt.
Aber finde es eine frechheit in eine Datei eine E-Mail rein zu setzen die bei einer Fehlermeldung Benutzerspezifische Daten verschickt, auch wenn ich es nur mitbekam da ich eine Mailer Damoen Mail bekam das diese scheinbar nicht mehr existiert, hatte ich darmals trotzdem sicherheitshalber meine daten alle geändert weil ich mir nicht sicher war wie weit er doch meine Daten bekam.
Ich finde aus diesem Grund gehört es eigentlich aus verkehr gezogen.
Verfasst: Do 04.Mai, 2006 09:32
von cback
Schaut doch mal bei mir in den Blog oder auf mein Portal. Ich predige schon seit langem, man soll die MODs auf die gängigen Sicherheitslücken überprüfen...
Verfasst: Do 04.Mai, 2006 09:52
von Christian_N
Hi cback das hab ich schon vor ein paar tage gelese, da wollt ich mich eh dann auf deinem forum mich nochmal in verbindung setzen, da ich den eintrag nicht so ganz verstande habe sind fachbegriffe drin die mir nichts sagen auf anhieb
und dann hab ich auch 2 oder 3 eigene PHP seite gemacht mit dem header/footer von phpBB forum, also keine MODs in den fall, wo dann ich auch da mich nochmal auf deiner seite/forum ggf. schlau machen muss obs richtig (sicherheitsmässig) programmiert sind.
Aber momentan habe ich leider keine Zeit, meine Fanclubseite steht sowas von hinten an da ich im totalen umzugstress bin, das die noch nicht mal die zeit besteht abzudaten wie auf phpBB 2.0.20 und den CrackerTracker auf 4.1.3 von 4.1.1
wobei ich glaube der noch schnell upgedatet wäre.
Naja hoffe das im Juni wieder alles ruhiger wird und dann ich mich wieder darum kümmern kann bis dahin hoff ich mal das mich die böse leute in ruhe lassen *zittert*
Verfasst: Do 04.Mai, 2006 11:12
von oxpus
Naja hoffe das im Juni wieder alles ruhiger wird und dann ich mich wieder darum kümmern kann bis dahin hoff ich mal das mich die böse leute in ruhe lassen *zittert*
Ich drück Dir die Daumen.
Verfasst: Do 04.Mai, 2006 11:27
von cback
Erster Hinweis auf dieses Kritische Teil am 27.4. als ich Orion 2.3.0 rausgebracht hab mit der neuen Sicherheitsarchitektur welche vor solchen Angriffen auch mit GLOBALS=ON abgesichert ist. Aber auf mich hört ja keiner. Schlimm, so viele Tage danach erst mal auf ner größeren Seite ein Hinweis.
¦4 ¦4 ¦4 ¦4 ¦4 ¦4
Verfasst: Do 04.Mai, 2006 12:51
von Christian_N
Danke @oxpus
Tja, was will man da machen cback, ich habe den blog bei dir auch eher nur durch zufall gelesen gehabt vor paar tage, da ich auf andere boards selten bin, vieles tun ich lesen, schreiben usw.
oxpus.de is mein zuhause *ggg*