gefährliche Sicherheitslücke in phpBB2.0.0

Erwinchen666 · Beitrag von **Erwinchen666** » 02.11.2002 00:12

Zur Info:

phpBB Forum Bug in 'admin_ug_auth.php' Lets Remote Authenticated Users Gain Administrative Privileges on the Forum

SecurityTracker Alert ID: 1005495
CVE Reference: GENERIC-MAP-NOMATCH (Links to External Site)
Date: Oct 29 2002

Impact: Modification of system information, User access via network

Fix Available: Yes Exploit Included: Yes Vendor Confirmed: Yes

Version(s): 2.0.0

Description: A vulnerability was reported in phpBB version 2.0.0. A remote authenticated user can gain administrative privileges on the forum.

It is reported that any remote authenticated user can POST to the admin_ug_auth.php script (which is used to set permissions). According to the report, administrative privileges are required to view the page, but the script accepts POST data without checking the user's privileges.

A demonstration exploit method is provided in the Source Message.

Impact: A remote authenticated user can set privileges and gain administrative privileges on the system.

Solution: It is reported that phpBB versions above 2.0.0 are not vulnerable. New versions are available at:

http://www.phpbb.com/downloads.php

Gruß, Erwinchen

Erwinchen666 · Beitrag von **Erwinchen666** » 02.11.2002 10:45

Für alle, die möglicherweise betroffen sind und den Ernst der Lage nicht erkannt haben...

Ihr solltet Euer Forum unbedingt updaten, wenn Ihr Version 2.0.0 oder eine auf 2.0.0 basierende, die nicht entsprechenden Updates erfahren hat, z.B. weil zu sehr "überhacked", verwendet.

Diese Sicherheitslücke sollte nicht unterschätzt werden.

Beitrag von **Mister_X** » 03.11.2002 19:27

man könnte sein admin verzeichnis auch einfach mit .htaccess schützen

aber updaten ist immer gut !

Gast · Beitrag von **Gast** » 12.11.2002 00:45

gibt es keine möglichkeit das problem zu lösen ohne das board upgraden zu müssen ?.htaccess geht nicht..

Tamtrek · Beitrag von **Tamtrek** » 23.11.2002 16:02

ich empfehle euch upzugraden.
unser forum wurde heut morgen gehackt...die haben das ganze forum zersaut. zum glück sind alle post in der DB intakt...

Beitrag von **Jensemann** » 06.12.2002 01:42

Mister_X hat geschrieben:man könnte sein admin verzeichnis auch einfach mit .htaccess schützen
aber updaten ist immer gut !

Sollte man sowieso machen, admin und includes verzeichniss dicht machen, ist die einzige methode wo man sich wirklich halbwegs sicher sein kann.

Mfg
Jens

Gast · Beitrag von **Gast** » 11.12.2002 10:03

Ok, wenn ich update, gehen dann meine einstellungen in den Templates verloren? ich hab da soviel rumgearbeitet, außerdem hab ich verscheidene Dinge eingebunden wie die Image Gallery von www.4homepages.de.

Bleibt das erhalten?

Wo finde Ich denn mal mehr info zu den Updates, was die alles verändern.

Beitrag von **Acid** » 11.12.2002 13:41

..deine Templateeinstellungen gehen nicht verloren.
Wenn der Versionsunterschied zwischen dem alten und dann dem neuen Forum etwas grösser ist (z.B. 2.0 => 2.0.3) dann haben sich einige Templateangaben geändert, die aber in ein paar Minuten korrigiert sind. Auch die image gallery sollte davon ned betroffen sein.

larsneo · Beitrag von **larsneo** » 12.12.2002 22:23

naja - aber auch die aktuelle version ist nicht frei von möglichen exploits:
cross-site-scripting in search.php (bis 2.0.3)
scripting vulnerability in html-tags (bis 2.0.3)
xss bug in viewtopic (bis 2.0.3)

man kann da nur hoffen, dass die phpBB-group bald mal wieder ein update bringt...

phpBB.de

gefährliche Sicherheitslücke in phpBB2.0.0

gefährliche Sicherheitslücke in phpBB2.0.0

stargate