Neue Sicherheitslücke - Auch phpBB 2.0.8 betroffen

Eine Neuinstallation von phpBB 2.0 wird auf phpBB.de nicht mehr unterstützt.
Siehe auch Entwicklungs-Ende von phpBB 2.0 - Auswirkungen auf phpBB.de
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.

Eine Neuinstallation von phpBB 2.0 wird auf phpBB.de nicht mehr unterstützt.
Siehe auch Entwicklungs-Ende von phpBB 2.0 - Auswirkungen auf phpBB.de
Gesperrt
Benutzeravatar
Lodda
Mitglied
Beiträge: 169
Registriert: 11.03.2004 19:18
Wohnort: Berlin

Neue Sicherheitslücke - Auch phpBB 2.0.8 betroffen

Beitrag von Lodda »

Hi,

hab wieder Post vom Focus bekommen über eine Sicherheitslücke die Privatmessage betreffen soll, wisst Ihr was davon und wie beurteilt Ihr den "vorläufigen" Patch dafür?

Code: Alles auswählen

--- privmsg.php2004-03-18 19:51:32.000000000 +0000
+++ privmsg.1.php2004-03-26 19:51:07.000000000 +0000
@@ -212,7 +212,17 @@
 break;
 case 'savebox':
 $l_box_name = $lang['Savebox'];
-$pm_sql_user .= "AND ( ( pm.privmsgs_to_userid = " . $userdata['user_id'] . "
+
+//
+// For some obscure reason, the assignment 
+// concatenation operator was coded below, which 
+// allowed an attacker to append arbitrary SQL code
+// to the end of the $pm_sql_user variable.
+// This is fixed below.
+//
+// -shaun2k2
+//
+$pm_sql_user = "AND ( ( pm.privmsgs_to_userid = " . $userdata['user_id'] . "
 AND pm.privmsgs_type = " . PRIVMSGS_SAVED_IN_MAIL . " ) 
 OR ( pm.privmsgs_from_userid = " . $userdata['user_id'] . "
 AND pm.privmsgs_type = " . PRIVMSGS_SAVED_OUT_MAIL . " )
Kann man dem vertrauen oder erstmal abwarten?
Mit freundlichen Grüßen

Lodda
Nach oben
Benutzeravatar
itst
Ehrenadmin
Beiträge: 7418
Registriert: 21.08.2001 02:00
Wohnort: Büttelborn bei Darmstadt
Kontaktdaten:
Kontaktdaten von itst

Beitrag von itst »

Lies meine Antwort auf Bugtraq.
Sascha A. Carlin,
phpBB.de Ehrenadministrator :o
Nach oben
PhilippK
Vorstand
Vorstand
Beiträge: 14662
Registriert: 13.08.2002 14:10
Wohnort: Stuttgart
Kontaktdaten:
Kontaktdaten von PhilippK

Beitrag von PhilippK »

Sascha,

hast du mal 'nen Link zu deiner Antwort? Kann sein, dass ich blind bin, aber ich finde ihn nicht.
Ansonsten sieht's für mich nach 'nem sauberen Bug aus - und nach 'nem unsauberen Vorgehen des Finders...

Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Nach oben
Benutzeravatar
Lodda
Mitglied
Beiträge: 169
Registriert: 11.03.2004 19:18
Wohnort: Berlin

Re: ...

Beitrag von Lodda »

ich find auch nix nur die Antwort von JeiAr. Und wie sieht esa nun mit dem vorläufigen Patch aus? Sauber? Anwendbar? -> Kann dieser benutzt werden? Ist die Schwachstelle damit ausgelöscht oder sollen wir warten bis von offizieller Stelle ein Patch kommt?
Mit freundlichen Grüßen

Lodda
Nach oben
Benutzeravatar
itst
Ehrenadmin
Beiträge: 7418
Registriert: 21.08.2001 02:00
Wohnort: Büttelborn bei Darmstadt
Kontaktdaten:
Kontaktdaten von itst

Beitrag von itst »

Es ist immer besser, auf einen öffentlichen Fix zu warten, aber wenn es Dich glücklich macht, kannst Du gerne den störenden Punkt entfernen.

PS: Örks, hab mich im Eifer des Gefechts selbst überholt: meine Antwort ging nicht an Buqtrag, sondern direkt an Shaun.
Sascha A. Carlin,
phpBB.de Ehrenadministrator :o
Nach oben
Benutzeravatar
larsneo
Mitglied
Beiträge: 2622
Registriert: 07.03.2002 15:23
Wohnort: schwäbisch gmünd
Kontaktdaten:
Kontaktdaten von larsneo

Beitrag von larsneo »

der 'patch' ist - zumindestens für die gemeldete sicherheitslücke - durchaus ausreichend...
wenn du mysql4 einsetzt und nicht möchtest, dass jemand unbefugtes die password hashes anzeigt, solltest du ihn auf jeden fall einspielen :roll:
gruesse aus dem wilden sueden
larsneo
..::[krapohl.net]::..
Nach oben
Gesperrt

Zurück zu „phpBB 2.0: Installation und Update“