Hallo,
soweit mir bekannt ist gibt es ein ?neues? Sicherheitsloch in dem phpBB 2.0.6 bzw. eigentlich zwei, einmal soll es wohl ein Problem mit der register_global in der php.ini geben wenn sie auf on steht und einmal ein css Sicherheitsproblem in der viewtopic.php sowie in der viewforum.php. Sind diese Sicherheitslöcher schon mit dem Update zum phpBB 2.0.7 behoben worden oder wird derzeit daran gearbeitet.
Das erste Problem soll behoben werden wenn man vorläufig die register_global auf off setzt, die beiden anderen kann man manuell beheben.
"Neue" Sicherheitslöcher schon behoben in der phpB
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Eine Neuinstallation von phpBB 2.0 wird auf phpBB.de nicht mehr unterstützt.
Siehe auch Entwicklungs-Ende von phpBB 2.0 - Auswirkungen auf phpBB.de
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Eine Neuinstallation von phpBB 2.0 wird auf phpBB.de nicht mehr unterstützt.
Siehe auch Entwicklungs-Ende von phpBB 2.0 - Auswirkungen auf phpBB.de
"Neue" Sicherheitslöcher schon behoben in der phpB
Mit freundlichen Grüßen
Lodda
Lodda
Woher hast du die Informationen?
Gruß, Philipp
Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
-----schnipp-----
TITLE:
phpBB SQL Injection and Cross Site Scripting Vulnerabilities
CRITICAL:
Moderately critical
IMPACT:
Cross Site Scripting, Manipulation of data
WHERE:
>From remote
SOFTWARE:
phpBB 2.x
DESCRIPTION:
Some vulnerabilities have been reported in phpBB, allowing malicious
people to conduct Cross Site Scripting and SQL injection attacks.
1) User input passed to the "topicdays" and "postdays" parameters in the
"viewtopic.php" and "viewforum.php" scripts isn't properly sanitised
before it is returned to the user. This can be exploited to execute
arbitrary HTML and script code in a user's browser session in context of
an affected site.
2) User input passed to the "search_results" parameter isn't properly
verified in "search.php". This can be exploited to inject arbitrary SQL
code if "register_globals" is set to "On".
The vulnerabilities have been reported in version 2.0.6d and prior.
SOLUTION:
Update to version 2.0.7.
http://sourceforge.net/project/showfile ... up_id=7885
-----schnapp-----
Damit hast du ja auch die Antwort: 2.0.7 behebt das Problem 
Gruß, Philipp
Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Re: ...
Hallo PhilippK,
nicht wirklich, denn es gibt ja noch eine Anleitung zum selbstbeheben, Auszug:
und ich wollte wissen ob dies nun schon behoben ist egal wo, ob nun 2.0.6 oder 2.0.7 
nicht wirklich, denn es gibt ja noch eine Anleitung zum selbstbeheben, Auszug:
Code: Alles auswählen
-----[ OPEN ]-----------------------------------
viewforum.php
-----[ FIND ]-----------------------------------
if ( !empty($HTTP_POST_VARS['topicdays']) || !empty($HTTP_GET_VARS['topicdays']) )
{
$topic_days = ( !empty($HTTP_POST_VARS['topicdays']) ) ? $HTTP_POST_VARS['topicdays'] : $HTTP_GET_VARS['topicdays'];
$min_topic_time = time() - ($topic_days * 86400);
-----[ REPLACE WITH ]---------------------------
if ( !empty($HTTP_POST_VARS['topicdays']) || !empty($HTTP_GET_VARS['topicdays']) )
{
///////////////////////////////////////////////////////////////////
// Lets Do Away With These Problems By Requiring A Valid Integer //
// Fix By JeiAr // http://www.gulftech.org // Friday 03 12, 2004 //
///////////////////////////////////////////////////////////////////
$topic_days = ( !empty($HTTP_POST_VARS['topicdays']) ) ? intval($HTTP_POST_VARS['topicdays']) : intval($HTTP_GET_VARS['topicdays']);
$min_topic_time = time() - ($topic_days * 86400);
-----[ OPEN ]-----------------------------------
viewtopic.php
-----[ FIND ]-----------------------------------
if( !empty($HTTP_POST_VARS['postdays']) || !empty($HTTP_GET_VARS['postdays']) )
{
$post_days = ( !empty($HTTP_POST_VARS['postdays']) ) ? $HTTP_POST_VARS['postdays'] : $HTTP_GET_VARS['postdays'];
$min_post_time = time() - (intval($post_days) * 86400);
-----[ REPLACE WITH ]---------------------------
if( !empty($HTTP_POST_VARS['postdays']) || !empty($HTTP_GET_VARS['postdays']) )
{
///////////////////////////////////////////////////////////////////
// Lets Do Away With These Problems By Requiring A Valid Integer //
// Fix By JeiAr // http://www.gulftech.org // Friday 03 12, 2004 //
///////////////////////////////////////////////////////////////////
$post_days = ( !empty($HTTP_POST_VARS['postdays']) ) ? intval($HTTP_POST_VARS['postdays']) : intval($HTTP_GET_VARS['postdays']);
$min_post_time = time() - (intval($post_days) * 86400);
Mit freundlichen Grüßen
Lodda
Lodda
Genau die von dir genannten Fixes sind in der 2.0.7 drin
Gruß, Philipp
Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
