wo gibt es diesen tester denn?larsneo hat geschrieben:du hast eine PMXelos hat geschrieben:Wie kann ich nun testen, ob dies auch wirklich geklappt hat?
WebWorm generation 4
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
aha....und wieso hats mir dann mein, testweise unter www.test.chiptuningforum.com/phpbbchip/index.php vor vier tagen neu aufgesetztes cleanes 2011er "zerlegt" ??larsneo hat geschrieben:wenn du phpbb 2.0.11 einsetzt ist dein board sicher
php 4.3.5
-
larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
mit an sicherheit grenzender wahrscheinlichkeit läuft deine präsenz im shared hosting und eine andere präsenz war betroffen. wenn die zugriffsrechte bzw. suexec nicht sicher aufgesetzt sind, betrifft das vom wurm initierte defacement auch über-/nebengeordnete verzeichnisse.pjotr hat geschrieben:aha....und wieso hats mir dann mein, testweise unter www.test.chiptuningforum.com/phpbbchip/index.php vor vier tagen neu aufgesetztes cleanes 2011er "zerlegt" ??larsneo hat geschrieben:wenn du phpbb 2.0.11 einsetzt ist dein board sicher
php 4.3.5
"Aber jeder erbärmliche Tropf, der nichts in der Welt hat, darauf er stolz sein könnte, ergreift das letzte Mittel, auf die Nation, der er gerade angehört, stolz zu sein. Hieran erholt er sich und ist nun dankbarlich bereit, alle Fehler und Torheiten, die ihr eigen sind, mit Händen und Füßen zu verteidigen."
Arthur Schopenhauer
Arthur Schopenhauer
Nochmal zu dennen, die das gerne Testen wollen: Vielleicht helfen diese links weiter:
http://www.k-otik.com/exploits/20041222 ... orm.pl.php
und
http://cert.uni-stuttgart.de/archive/bu ... 00252.html
ist wirklich erstaunlich, wie lange die lücke schon bekannt war!
mfg richx
http://www.k-otik.com/exploits/20041222 ... orm.pl.php
und
http://cert.uni-stuttgart.de/archive/bu ... 00252.html
ist wirklich erstaunlich, wie lange die lücke schon bekannt war!
mfg richx
napjotr hat geschrieben:aha....und wieso hats mir dann mein, testweise unter www.test.chiptuningforum.com/phpbbchip/index.php vor vier tagen neu aufgesetztes cleanes 2011er "zerlegt" ??larsneo hat geschrieben:wenn du phpbb 2.0.11 einsetzt ist dein board sicher
php 4.3.5
wenn du nicht noch ein forum verlieren willst solltest du ein Update machenhttp://www.chiptuningforum.com hat geschrieben:Powered by phpBB 2.0.4 © 2001, 2002 phpBB Group
**********************************
mal eine frage zum wurm, wenn der Pearl ist, aber der webspace Pearl nicht unterstützt (z.B. in confixx abgeschaltet und cgi-bin keine rechte) wie kann der sich dann ausführen, währe das keine möglichkeit?
Zuletzt geändert von Fundus am 22.12.2004 16:00, insgesamt 1-mal geändert.
da das nur aus der DB ausgelesen ist, muss die versionsnummer nicht zwangsweise stimmen
"Aber jeder erbärmliche Tropf, der nichts in der Welt hat, darauf er stolz sein könnte, ergreift das letzte Mittel, auf die Nation, der er gerade angehört, stolz zu sein. Hieran erholt er sich und ist nun dankbarlich bereit, alle Fehler und Torheiten, die ihr eigen sind, mit Händen und Füßen zu verteidigen."
Arthur Schopenhauer
Arthur Schopenhauer
Wenn ich das richtig gelesen habe ist die Copyrightangabe mit Schuld das es soviele betroffen hat. Der Wurm hat die Versionsnummer überprüft. Hätte das Board weder im Header noch im Fuß eine Angabe würde es erst garnicht gefunden. Das ist ein großes Problem bei Open Source. Dadurch werden solch automatisierten Angriffe erst möglich.
Vom Update mal abgesehen, gibt es eine Liste der wichtigsten Änderungen für reine Sicherheitslücken im Board. Bevor ich das über soviele Versionen update ohne das ich hinterheri zusätzliche Funktionen habe und auch noch die ganzen Mods neu einbauen kann würde ich eher auf ein VBB wechseln.
Eine Liste der reinen Sicherheitspatches habe ich bisher nicht gefunden.
Vom Update mal abgesehen, gibt es eine Liste der wichtigsten Änderungen für reine Sicherheitslücken im Board. Bevor ich das über soviele Versionen update ohne das ich hinterheri zusätzliche Funktionen habe und auch noch die ganzen Mods neu einbauen kann würde ich eher auf ein VBB wechseln.
Eine Liste der reinen Sicherheitspatches habe ich bisher nicht gefunden.
Da eh zensiert wird, spar ich mir die Signatur.
Das kann ich mir fast überhaupt nicht vorstellen, weil eines der Foren, die ich leider nur administriere, dem Wurm zum Opfer gefallen ist. Es hatte keinerlei Versionsnummer und hatte, weil der Webmaster nicht anwesend war, eben noch die 2.0.10 installiert.manica hat geschrieben:Wenn ich das richtig gelesen habe ist die Copyrightangabe mit Schuld das es soviele betroffen hat. Der Wurm hat die Versionsnummer überprüft.
Ganz abgesehen davon: War es nicht so, dass der Hauptgrund für die Verwundbarkeit des 2.0.10 in der viewtopic.php lag?
Gruß
Lisa
