hallo,
ich las bei postnuke etwas über ein krasses sicherheitsloch bzgl des image-tags. da sowohl bei postnuke wie auch den php-foren php und img-tag verwendet wird, frage ich mich nun natürlich, ob hier dasgleiche problem besteht.
ich bin kein programmier-experte, aber vielleicht könnten sich mal seriöse experten hier das ansehen, und falls es so ist, möglichst verständlich raten, was man tun kann/soll ?
http://www.nukeboards.de/index.php?act=ST&f=41&t=21907
http://www.securityfocus.com/archive/1/358326
danke + viele grüße, yks
img sicherheit ?
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Das Problem wurde in weiten Teilen mit phpBB 2.0.4 adressiert - in den letzten Versionen sind noch einige Detailverbesserungen dazugekommen, die z.B. seit 2.0.8 ein Bild mit Parametern nicht mehr ermöglichen.
Wenn du nicht gerade selbst weitere Risiken einbaust (z.B. HTML aktivierst, den IP-Check bei den Sessions entschärfst, unsichere Mods einbaust usw.) dürfte phpBB relativ sicher sein - auch wenn es hundertprozentige Sicherheit nie geben wird.
Gruß, Philipp
Wenn du nicht gerade selbst weitere Risiken einbaust (z.B. HTML aktivierst, den IP-Check bei den Sessions entschärfst, unsichere Mods einbaust usw.) dürfte phpBB relativ sicher sein - auch wenn es hundertprozentige Sicherheit nie geben wird.
Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
-
larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
vielleicht sollte man zum besseren verständnis erst einmal etwas ordnung in die aussage bringenich las bei postnuke etwas über ein krasses sicherheitsloch bzgl des image-tags. da sowohl bei postnuke wie auch den php-foren php und img-tag verwendet wird, frage ich mich nun natürlich, ob hier dasgleiche problem besteht.
das von janek vind beschriebene problem bezieht sich auf die ausnutzung einer in phpnuke seit langem bestehenden schwachstelle durch fehlende variablen-überprüfung in der admin.php. ob der angesprochene code dabei über das phpBB, ein gästebuch oder irgendein anderes XSS eingeschleust wird, ist dabei letztendlich egal.
das angesprochene XSS kann recht einfach durch gefakte bilder (also aktive inhalte die via url-rewriting als *.jpg deklariert werden) in jede applikation die bbcode bzw. img-tags erlaubt eingeschleust werden - gefährlich wird es aber nur, wenn das XSS im kontext einer phpnuke-seite aufgerufen wird (und das phpBB ist beispielsweise bestandteil der jüngeren phpnuke distributionen).
wichtig ist, dass phpnuke und nicht das 'transport-medium' das eigentliche sicherheitsproblem und auch das ziel des exploits ist.
am besten phpnuke nicht einsetzen und entweder auf eins der sog. VKPs bzw. auf postnuke, mambo oder typo3 wechseln.möglichst verständlich raten, was man tun kann/soll ?
Das Problem ist da zum einen ganz einfach unter dem Begiff "Faulheit" zusammenzufassen. Aber die Faulheit, die Variablen nicht sauber zu überprüfen, macht nicht vor anderen Gruppen halt. Während da phpBB selbst sehr sauber vorgeht, so haben da einige Mod-Autoren deutlich mehr geschludert. Seit phpBB 2.0.9 funktioniert jedoch die unüberprüfte Übergabe von Variablen nicht mehr, so dass die betroffenen Mods ausgebessert werden müssen.larsneo hat geschrieben:wichtig ist, dass phpnuke und nicht das 'transport-medium' das eigentliche sicherheitsproblem und auch das ziel des exploits ist.
Allerdings muss man auch anmerken, dass Bilder in HTML-Seiten immer wieder einen möglichen Angriffspunkt darstellen können. Nur dagegen gibt es erst mal relativ wenige Möglichkeiten (vielleicht kommen die Browser-Programmierer ja mal auf Funktionen wie "Bilder über Domaingrenzen hinweg nicht laden" oder "Referer nicht Domainübergreifend übermitteln"...)
Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
-
larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
es sind halt zwei dinge die beim o.a. beispiel zusammenkommen - eine anwendung die für sql-injections empfänglich ist und eine apllikation die XSS ermöglicht.
ersteres ist ein absolutes desaster - applikationen die ungeprüften db-kontakt ermöglichen, sind nicht nur eine gefahr für die betreffende seite sondern für alle dort registrierten benutzer (viele haben ja ein und dasselbe passwort für verschiedene seiten).
die gefahr bei letzeren ist allerdings auch im sog. social engineering zu sehen - man glaubt gar nicht, wieviele benutzer in einem dank advanced xss ungefragt geöffneten popup-fenster einfach einmal ihren account mitsamt passwort 'bestätigen'
<ot>die änderungen in der 2.0.9 sind übrigens wirklich ganz gut gedacht - wobei mir persönlich der db-abstraction-layer auch weiterhin nicht wirklich zusagt...</ot>
ersteres ist ein absolutes desaster - applikationen die ungeprüften db-kontakt ermöglichen, sind nicht nur eine gefahr für die betreffende seite sondern für alle dort registrierten benutzer (viele haben ja ein und dasselbe passwort für verschiedene seiten).
die gefahr bei letzeren ist allerdings auch im sog. social engineering zu sehen - man glaubt gar nicht, wieviele benutzer in einem dank advanced xss ungefragt geöffneten popup-fenster einfach einmal ihren account mitsamt passwort 'bestätigen'
<ot>die änderungen in der 2.0.9 sind übrigens wirklich ganz gut gedacht - wobei mir persönlich der db-abstraction-layer auch weiterhin nicht wirklich zusagt...</ot>
