phpBB.de

Name: [mod=131]Advanced Report Hack[/mod]
Autor: [moda=48]S2B[/moda]
Beschreibung: Der MOD erweitert das phpBB um ein umfangreiches Meldesystem, das sich durch ein Modul-System einfach erweitern lässt.
Installationsgrad: leicht
Installationszeit: 15 min
Download: [modd=131]download[/modd]

Für weitere Details siehe [mod=131]Mod-DB[/mod].

Durch Zufall bin ich bei Tests auf ernste Sicherheitslücken im Advanced Report Hack gestoßen. Genauer gesagt handelt es sich dabei um SQL-Injections. Dies war möglich, da ich leichtsinnigerweise stripslashes() zum Entfernen der Magic Quotes eingesetzt, jedoch später nur mit str_replace("'", "''", $string) escaped habe.

Gerade eben habe ich Version 4.2.3 des MODs hochgeladen, mit der die Lücke geschlossen wurde. Ich rate jedem, der den MOD einsetzt, so schnell wie möglich auf die neue Version zu updaten.

Leider gab es zwei weitere Sicherheitslücken, die ich bei 4.2.3 übersehen hatte und die erst durch die Validierung auf phpBB.com bekannt wurden. Diese wurden jetzt mit Version 4.2.4 geschlossen. Also: Updaten!