Sicherheitslücke? - Beiträge ändernüber SQL-Abfrage

[hmueller]

Hallo,

obwohl das Topic http://www.phpbb.de/viewtopic.php?p=113777 mittlerweile geschlossen wurde, würde mich aber dennoch interessieren, wie das mit dieser modifizierten SQL-Abfrage geklappt hat.

Hier also nochmal der Sachverhalt:

Jemand konnte Beiträge durch folgende Ergänzung (in der Browser-Adresszeile) ändern (ohne Berechtigung, nicht eingeloggt):

an die Zeile

Code: Alles auswählen

.../viewtopic.php?t=78

wurde einfach das hier angefügt:

Code: Alles auswählen

viewtopic.php?t=78 VERKNÜPFUNG Dies ist ein geändert Text admin true

also: in das Topic wird "Dies ist ein geändert Text" eingefügt, der Login erfolgt als
Admin, mit "true" wird das Paßwort (welches nicht bekannt ist und nicht eingegeben
wurde) für richtig erklärt
Wer den genauen Code kennt, sende ihn doch bitte per PM an mich (sollte aus
Sicherheitsgründen wohl besser nicht hier im Forum stehen).

Das Ganze funktionierte mit einem 2.0.2 oder 2.0.3-Forum.

[hmueller]

Hallo,

also langsam wird es unheimlich.
Kennt denn niemand diese Sicherheitslücke?

Auf diversen "Security-Seiten" konnte ich nämlich auch nichts dazu finden.
Aber mit diesem Code konnte/kann man definitiv ohne Login belieibge Beiträge ändern!!!

[itst]

Hast Du dieses Loch schon an die phpBB Group gemeldet?
Mail an security@phpbb.com .
Tu das bitte nur, wenn Du Dir sicher bist, das es Loch ist.

BTW, hast Du das selbst gesehen oder hat Dir der Admin das bloss erzählt?
Was ich mich frage: zu welchem Post des Topics wird da etwas hinzugefügt? Und was soll dieses "VERKNÜPFUNG"?

[PhilippK]

Nur mal so als Anmerkung: es gibt in der viewtopic keine Routine, die Text in die entsprechenden Tabellen schreibt...

Das läuft alles über die posting.php...

Gruß, Philipp

[itst]

Mensch Phillip... Das hätt' ich von hmueller oder seinem "Admin" hören wollen

[Friese]

*grübel, grübel*

Also ist das Loch eine Ente???

Wenn ich richtig mitgelesen habe, betrifft dieses Loch doch das "vBB"
und nicht das "phpBB", oder bin ich jetzt auf'm ganz falschen Dampfer?

Gruß Friese

[codemonkey]

Na ja, wie schon gesagt. Texte werden über die posting.php eingetragen. Und wenn das eine Sicherheitslücke beim vBB ist, bist du hier falsch

[PhilippK]

Ggf. mal hier suchen:
http://securitytracker.com/archives/target/1054.html (phpBB)
http://securitytracker.com/archives/target/3284.html (vBB)

Evtl. ist es der phpBB-Bug vom 17.01. - der ist aber behoben

Gruß, Philipp

[Friese]

Na ja, wie schon gesagt. Texte werden über die posting.php eingetragen. Und wenn das eine Sicherheitslücke beim vBB ist, bist du hier falsch

Wenn ich Dich richtig verstehe, liegt mein Fehler wohl darin, dass ich das erste Topic von hmueller auch gelesen habe .

Evtl. ist es der phpBB-Bug vom 17.01. - der ist aber behoben

Wenn ich die Meldungen bei securitytracker richtig übersetze , ist die Lücke bei phpBB2.0.4 behoben.

Gruß Friese

[hmueller]

Hallo,

also wie gesagt: ich weis nur das, was ich hier schon geschrieben habe.

Der Text konnte definitiv geändert werden (also keine Ente), siehe hier ein Screenshot:

[ externes Bild ]

Das war im November; es kann natürlich sein, daß sich der Webmaster bei der Demonstation vor meinen Augen (letzte Woche) vertan hat und das mit der viewtopic tatsächlich nicht funktionierte. Auf jeden Fall funktionierte es irgendwie mit

Code: Alles auswählen

....php ... hinzugefügter Text ... admin ... true

Ich will jetzt nicht mehr bei dem Webmaster bezügl. des Codes nachfragen, da er sonst noch negativer gegen das phpbb eingestellt ist.

Würde es denn funktionieren, wenn das Paßwort bekannt wäre, also etwa so (Achtung, PHP-Laie am Werk): .../posting.php?mode=editpost&p=2="Den Text kann ich noch immer ändern"? User=admin&pw=trs23 ??

Der angegebene Bug im Security-Tracker sieht zwar ähnlich aus, bezieht sich jedoch nur auf das PM-System. Das kann also nicht der Bug sein.

@Friese: Problem betrifft ausschließlich phpbb