kostenlos Registrieren

Navigation
Startseite
Fachbücher
Forum
Webmaster News
Script Newsletter
Kontakt
Script Installation
Php
Php Tutorials
Impressum

Community-Bereich
kostenlos Registrieren
Anmelden
Benutzerliste

Script Datenbank
Script Archiv
Script Top 20
Screenshots
Testberichte

Unsere Php Scripts
Counter Script
Umfrage Script
Bilder Upload Script
Terminverwaltung
Simple PHP Forum
RSS Grabber

Script Mods
phpBB Adsense Mode

Tools und Generatoren
.htpasswd Generator
md5 Generator
base64 Generator
ICQ Generator
Colorpicker
Unix timestamp Tool
TLD Liste
Webkatalog‑Verzeichnis

Partner
Sprüche Treff

Artfiles.de
Bietet Serviceorientierte Internetdienstleistungen...
https://www.Artfiles.de

Hosterplus.de
Bekommen Sie Speicherplatz (Webspace), Domains und...
https://www.Hosterplus.de

Zwei Schwachstellen in Forensoftware phpBB

Sie befinden sich: Home > Webmaster News

Die Schwachstellen in der webbasierten, in PHP geschriebenen Open-Source-Forensoftware phpBB Group erlauben einem entfernten Angreifer, Dateien mit den Rechten des Webservers zu löschen beziehungsweise anzusehen. Laut iDefense sind die Fehler in Version 2.0.11 bestätigt; es wird angenommen, dass auch frühere Versionen davon betroffen sind.

Die erste Schwachstelle ist ein Directory-Traversal-Fehler, wobei der Rückgabewert von "avatarselect" falsch behandelt wird. Dies erlaubt einem entfernten Angreifer, Dateien zu löschen, auf die der Webserver Schreibrechte hat. Damit ein Forensystem anfällig für einen Angriff auf diese Schwachstelle ist, muss die defaultmäßig ausgeschaltete Option "Enable gallery avatars" aktiv sein. Außerdem muss ein Angreifer auf dem anvisierten System bereits einen Account haben, oder es muss ihm erlaubt sein, einen neuen zu erstellen. Die weitere Kompromitierung des Systems kann dann erfolgen, indem ein Angreifer sensitive Dateien, wie zum Beispiel .htaccess-Dateien mit den dort enthaltenen Zugangsberechtigungen löscht.

Die zweite Schwachstelle ist ein Eingabeüberprüfungs-Fehler, wobei von Hand eingegebene Pfade beim Upload eines Avatars falsch behandelt werden. Dies erlaubt einem entfernten Angreifer, Dateien auszulesen. Hier muss der Angreifer ebenfalls einen Account besitzen und die defaultmäßig ausgeschalteten Optionen "Enable remote avatars" und "Enable avatar uploading" müssen eingeschaltet sein.

Zur Fehlerbeseitigung sollte der Administrator des Forensystems ein Update auf Version 2.0.12 durchführen, oder die besagten Optionen bei den Administratoreneinstellungen unter General Admin / Configuration / Avatar Settings ausschalten. Gegen die zweite Schwachstelle hilft es alternativ auch, die PHP-Security-Directive "open_basedir" zu benutzen, um Datei-Operationen auf ein bestimmtes Verzeichnis zu beschränken.

In der Forensoftware phpBB sind in letzter Zeit gehäuft Schwachstellen aufgetreten , die teilweise sogar automatisiert durch Würmer ausgenutzt wurden.

Siehe dazu auch:

Downloadseite von phpBB
phpBB Group phpBB2 Arbitrary File Unlink Vulnerability von iDefense
phpBB Group phpBB Arbitrary File Disclosure Vulnerability von iDefense

Eingetragen am 23.02.2005

Letzten Webmaster News

15.04.2024 - PHP schließt kritische Sicherheitslücken in neuesten Releases
03.04.2024 - Beinahe-Einbruch in Millionen Computer durch xz-utils Hack
03.04.2024 - WordPress 6.5 Bringt Revolutionäre Design- und Leistungsverbesserungen...
07.03.2024 - Kritische Sicherheitslücken bei VMWare: Sofortiges Handeln nötig
05.03.2024 - Thunderbird Update 115.8.1: Fehlerbehebungen im Fokus

Alle Webmaster News Anzeigen

Schreib ein Kommentar

Webhosting Service