Diskussion zu "phpBB nicht von Sicherheitslücke in ImageMagi

Projekte der phpBB.de-Community und Feedback zu phpBB.de.
Benutzeravatar
Crizzo
Administrator
Administrator
Beiträge: 9729
Registriert: 19.05.2005 21:45
Kontaktdaten:

Diskussion zu "phpBB nicht von Sicherheitslücke in ImageMagi

Beitragvon Crizzo » 05.05.2016 21:35

Hier könnt ihr über die Bekanntmachung phpBB nicht von Sicherheitslücke in ImageMagick betroffen! diskutieren:
BlackHawk87 hat geschrieben:Aktuell existiert in der ImageMagick-Bibliothek eine Sicherheitslücke, mit der durch das Hochladen von präparierten Bildern Schad-Code auf dem Server ausgeführt werden können.

phpBB benutzt ImageMagick um Thumbnails (Vorschaubilder) zu erstellen, alle anderen Funktionen in phpBB (z.B. bei den Dateianhängen) nutzen ImageMagick nicht. phpBB ist nach aktuellem Stand nicht von dieser Sicherheitslücke betroffen.

Die Sicherheitslücke beruht darauf, dass Dateien direkt zur ImageMagick-Bibliothek oder Textgrafiken (wie SVG- oder MVG) direkt zu ImageMagick "durchgereicht" werden. Da phpBB keine Vorschaubilder zu SVG oder MVG erstellt und gleichzeitig alle hochgeladenen Bilddateien prüft, entsteht hier keine Sicherheitslücke in phpBB durch die Verwendung von ImageMagick.

Quelle: Blog-Beitrag auf phpBB.com: https://blog.phpbb.com/2016/05/05/phpbb ... k-exploit/ (Englisch)

Infos zur Lücke:
http://www.heise.de/security/meldung/We ... 96901.html
http://arstechnica.com/security/2016/05 ... n-attacks/ (Englisch)
phpBB Translations & International Support Teams Manager

Benutzeravatar
canonknipser
Supporter
Supporter
Beiträge: 1565
Registriert: 10.09.2011 11:14
Kontaktdaten:

Re: Diskussion zu "phpBB nicht von Sicherheitslücke in Image

Beitragvon canonknipser » 05.05.2016 22:52

phpbb selber nicht, aber wie sieht es mit den Gallery-Erweiterungen (ich denke da an die NV-Galerie und / oder deren Nachfolger) aus? In der NV-Gallery unter 3.0 wurde ja eine eigene Bildverwaltung mit resize etc. implementiert- ich weiß nicht, wie es in der aktuellen EXT aussieht
Grüße, canonknipser
"there are only 10 types of people: those, who understand binary and those, who don't"
just arrived ;) - Bilder
Kein Support via PN, nur im Board und (manchmal) im IRC


Zurück zu „Community Talk“