[3.3] phpBB Changelog öffentlich einsehbar

Fragen rund um die Installation, Administration und Benutzung von phpBB.
Forumsregeln
Bitte im Thementitel den Präfix deiner phpBB-Version angeben
Antworten
maduline
Mitglied
Beiträge: 69
Registriert: 20.10.2023 18:18
Wohnort: Untervaz (CH)

[3.3] phpBB Changelog öffentlich einsehbar

Beitrag von maduline »

Eine Prüfung ergab, dass bei meiner phpBB-Installation 3.3.10 der Changelog öffentlich einsehbar ist, was Angreifern helfen könnte. Wie kann ich das ändern?
Benutzeravatar
LukeWCS
Supporter
Supporter
Beiträge: 2566
Registriert: 15.12.2014 10:19
Kontaktdaten:

Re: [3.3] phpBB Changelog öffentlich einsehbar

Beitrag von LukeWCS »

Welche Prüfung? Link zu deinem Forum?
Möge das Backup mit dir sein. Immer.
Kein Support via PN! Siehe den Punkt "Private Nachrichten" im phpBB.de-Knigge.
Erweiterungen - Infos zur artgerechten Haltung / phpBB Ext Check - Analyse von Erweiterungen bezüglich Vorgaben und Kompatibilität
hackepeter13
Valued Contributor
Beiträge: 3549
Registriert: 21.04.2004 12:22
Wohnort: Berlin
Kontaktdaten:

Re: [3.3] phpBB Changelog öffentlich einsehbar

Beitrag von hackepeter13 »

Redest du von der CHANGELOG.html im docs Ordner?

Inwiefern soll das für Angreifer hilfreich sein?
Oder anders gefragt: warum soll sie für dich gefährlich sein?
Das phpBB-Paket kann sich jeder runterladen und somit die Datei auch anschauen.

Du kannst den Ordner oder einfach nur die html-Detai löschen, wenn dich das stört.
maduline
Mitglied
Beiträge: 69
Registriert: 20.10.2023 18:18
Wohnort: Untervaz (CH)

Re: [3.3] phpBB Changelog öffentlich einsehbar

Beitrag von maduline »

Ja,die Datei meine ich. So erkennt ein Angreifer z.B. dass eine Version mit einer Sicherheitslücke noch nicht updatet wurde :)
Benutzeravatar
Mike-on-Tour
Supporter
Supporter
Beiträge: 1172
Registriert: 13.01.2020 21:09
Kontaktdaten:

Re: [3.3] phpBB Changelog öffentlich einsehbar

Beitrag von Mike-on-Tour »

Dann mach ein Update und schließe die Lücke, und welche soll das denn genau sein?
Benutzeravatar
LukeWCS
Supporter
Supporter
Beiträge: 2566
Registriert: 15.12.2014 10:19
Kontaktdaten:

Re: [3.3] phpBB Changelog öffentlich einsehbar

Beitrag von LukeWCS »

maduline hat geschrieben: 22.11.2023 16:07 So erkennt ein Angreifer z.B. dass eine Version mit einer Sicherheitslücke noch nicht updatet wurde :)
Welche Datei gemeint ist und um was es dir dabei geht, hatte ich schon im Startbeitrag verstanden. Aber das ist nur eine Möglichkeit die Version zu ermitteln, es gibt noch einige Weitere. Und die phpBB Version ist dabei auch nicht das einzige Kriterium, zum Beispiel spielt auch die PHP Version eine Rolle. Auch die kann ermittelt werden, wenn der Hoster seinen Webserver nicht ordentlich konfiguriert hat.

Darum nochmal meine Frage: Von welcher "Prüfung" sprichst du? Wer hat diese Behauptung aufgestellt? Da muss es doch Quellen geben.
Möge das Backup mit dir sein. Immer.
Kein Support via PN! Siehe den Punkt "Private Nachrichten" im phpBB.de-Knigge.
Erweiterungen - Infos zur artgerechten Haltung / phpBB Ext Check - Analyse von Erweiterungen bezüglich Vorgaben und Kompatibilität
maduline
Mitglied
Beiträge: 69
Registriert: 20.10.2023 18:18
Wohnort: Untervaz (CH)

Re: [3.3] phpBB Changelog öffentlich einsehbar

Beitrag von maduline »

Ich wurde von einem Nutzer unseres Forums auf diese "Sicherheitslücke" hingewisen
Benutzeravatar
LukeWCS
Supporter
Supporter
Beiträge: 2566
Registriert: 15.12.2014 10:19
Kontaktdaten:

Re: [3.3] phpBB Changelog öffentlich einsehbar

Beitrag von LukeWCS »

maduline hat geschrieben: 22.11.2023 19:20 Ich wurde von einem Nutzer unseres Forums auf diese "Sicherheitslücke" hingewisen
Unter einer "Sicherheitslücke" verstehe ich etwas anderes. Die Ermittlung der phpBB Version ist eher eine unerwünschte Herausgabe unnötiger Infos an Dritte. Eine Sicherheitslücke ist für mich ein Softwarefehler der aktiv ausgenutzt werden kann, um entweder unbefugt Zugriff zu bekommen, oder einfach Schaden anzurichten. Das Wissen um die phpBB Version ist noch keine Sicherheitslücke.

Okay, wie gesagt, die phpBB Version ist nur ein Detail wenn es darum geht, einen gezielten Angriff zu starten. Und diese Version kann noch an einigen anderen Stellen problemlos in Erfahrung gebracht werden. Und selbst wenn alle diese Wege aktiv blockiert werden, können versierte Coder mit soliden Kenntnissen der phpBB Strukturen immer die phpBB Version zumindest auf einen kleinen Versionsbereich einschränken.

Es braucht aber schon ein wirklich sehr gutes Knowhow gekoppelt mit krimineller Energie um diese Informationen dann effektiv ausnutzen zu können. Leute diese solche Kenntnisse haben, interessieren sich aber nicht für irgendwelche Foren, die konzentrieren sich eher auf die wirklich interessanten Ziele, wo durch einen "Einbruch" auch finanzieller Gewinn erzielt werden kann. :wink:

Was das Problem mit dem CHANGELOG angeht, hat hackepeter13 ja schon die Lösung gepostet.
hackepeter13 hat geschrieben: 22.11.2023 16:01 Du kannst den Ordner oder einfach nur die html-Detai löschen, wenn dich das stört.
Der docs/ Ordner ist für den Betrieb von phpBB irrelevant und kann jederzeit gelöscht werden.
Möge das Backup mit dir sein. Immer.
Kein Support via PN! Siehe den Punkt "Private Nachrichten" im phpBB.de-Knigge.
Erweiterungen - Infos zur artgerechten Haltung / phpBB Ext Check - Analyse von Erweiterungen bezüglich Vorgaben und Kompatibilität
maduline
Mitglied
Beiträge: 69
Registriert: 20.10.2023 18:18
Wohnort: Untervaz (CH)

Re: [3.3] phpBB Changelog öffentlich einsehbar

Beitrag von maduline »

Ich habe diese datei nun gelöscht, die benötige ich auch nicht :)
Antworten

Zurück zu „Support-Forum“