phpBB.de

@_Darkman_:
Es ging ja auch nie darum, welches OS diesen Bug nicht hat - der ist in PHP, ergo gibt es ihn überall, denn PHP ist PHP. Habe ich auch nie von geredet, daß er unter irgendeinem OS nicht ist.
Ich habe lediglich davon geredet, daß man auch sichereren Code fabrizieren kann als den der PHP ...

Davon rede ich auch nicht. Wie sollte auch das Highlighting - außer wenn system() verwendet würde - das Ausführen von belibigem Code ermöglich?
Mir geht es vielmehr, daß ein Workaround für PHP Bugs vorgenommen wurde. Halte ich nicht für sinnvoll, sinnvoller ist es, PHP zu updaten und dann eben die ...

woher weisst du das? hast du bereits einen angriff analysiert?

Änderungen in PHP angeguckt, Änderungen im phpBB angeguckt.
diff(1) läßt grüßen .

Hallo!

Du scheinst nicht wirklich gut informiert zu sein.
PHP wurde noch nie einem BSD in der Standarddistribution beigelegt - eben grade aus Sicherheitsgründen. Nur OpenBSD wird ein Apache beigelegt, was ich auch nicht grade gut heiße.
Natürlich kann man das hier mit einer BSD Distribution ...

Ich verstehe nicht, warum die phpBB Group einen Workaround macht.
Das ist kein Bugfix, da es sich hier um einen Bug in PHP handelt. Sämtliche Scripts, die diese Funktionen beinhalten, sind angreifbar.
Siehe hier:
http://www.hardened-php.net/advisories/012004.txt

Dies macht den Code des phpBB ...