phpBB.com: phpBB 3.2.2 Download-Pakete kompromittiert

News zu phpBB.de und phpBB
Bitte dieses Forum immer lesen.
Benutzeravatar
Crizzo
Administrator
Administrator
Beiträge: 9636
Registriert: 19.05.2005 21:45
Kontaktdaten:

phpBB.com: phpBB 3.2.2 Download-Pakete kompromittiert

Beitragvon Crizzo » 27.01.2018 11:34

Hallo zusammen,

wir haben leider keine guten Nachrichten. Wie phpBB.com vor Kurzem verkündet hat, wurden zwei phpBB.com Download-Pakete auf einen anderen Server weitergeleitet, die nicht zu phpBB.com gehörten. Angriffpunkt war Fremdsoftware, die von phpBB auf dem Server verwendet wird.

Betroffen sind die Pakete
  • phpBB 3.2.2 Full Package
  • phpBB 3.2.1 zu 3.2.2 Automatic Update Package
sofern sie am 26. Januar 2018 zwischen 13:02 und 16:03 (UTC+1) Uhr runtergeladen wurden, diese enthielten Schadcode. Dieser Schadcode sollte mittlerweile unwirksam gemacht worden sein.

Weder phpBB.com noch die Software phpBB sind betroffen.

Da momentan nicht ausgeschlossen werden kann, dass es diese Pakete mit unterschiedlichem Schadcode verteilt oder etwas übersehen wurde, bittet phpBB.com alle betroffenen Benutzer folgendes zu beachten:

  • Alle die glauben, dass sie ein betroffenes Paket besitzen, werden gebeten es an security@phpbb.com zu senden. Das Prüfen der SHA256 Checksumme (Verifizierung möglich über die SHA256 Angabe von der Downloadseite) schafft ebenfalls Klarheit. Das betroffene Paket sollte nicht verwendet werden!
  • Sollte das Paket bereits für eine Installation benutzt worden sein, bittet phpBB.com einen Report zu erstellen: https://tracker.phpbb.com/projects/INCIDENT/ und bietet Hilfe für die Entfernung der Malware an.
  • Die aktuellen Downloads auf phpBB.com sind sicher, im Zweifel wird empfohlen die Pakete erneut runterzuladen.

Fragen werden durch das phpBB-Team im Diskussions-Thema auf phpBB.com beantwortet: https://www.phpbb.com/community/viewtop ... &t=2456891 Wir können Fragen hier nicht beantworten, allerdings Antworten von phpBB.com hier weiterleiten bzw. übersetzen.

Erste Fragen:
https://www.phpbb.com/community/viewtop ... #p14921846
Wurde der Hash-Wert auf der Website auch manipuliert, der zu den phpBB-Download-Paketen angegeben wird?

Antwort:
Project Manager hat geschrieben:Da die Website nicht betroffen war, sind die Hashes nicht verfälscht worden.
So konnte jeder nach dem Download die SHA256 Prüfsumme kontrollieren und die manipulierten Pakete entdecken. Realistisch gesehen, werden das nur wenige getan haben.


Diskussion zu dieser Ankündigung: viewtopic.php?f=19&t=240919

Original Ankündigung: https://www.phpbb.com/community/viewtop ... &t=2456896

PS: Download-Pakete von https://www.phpBB.de sind nicht betroffen.

Zurück zu „Ankündigungen und Neuigkeiten“