Sicherheitslücke in phpBB 2.0.8a

[Fabian]

Über eine Schwachstelle in phpBB können Benutzer bestimmte administrative User-Management-Features umgehen.

Die Sicherheitslücke beruht auf einem Fehler bei der Überprüfung von Eingaben während der Verarbeitung von externen IP-Adressen. Dies kann der Angreifer ausnutzen, indem er im Header "HTTP_X_FORWARDED_FOR" eine gefälschte IP-Adresse angibt und so den Administrator daran hindert, den betreffenden Benutzer zu tracken oder auszusperren.

Nicht betroffen ist der Webserver selbst, der weiterhin die richtige IP-Adresse protokolliert.

Die Schwachstelle ist bestätigt für Version 2.0.8a und niedriger.

Stimmt das?

[DaniM]

Über eine Schwachstelle in phpBB können Benutzer bestimmte administrative User-Management-Features umgehen.

Die Sicherheitslücke beruht auf einem Fehler bei der Überprüfung von Eingaben während der Verarbeitung von externen IP-Adressen. Dies kann der Angreifer ausnutzen, indem er im Header "HTTP_X_FORWARDED_FOR" eine gefälschte IP-Adresse angibt und so den Administrator daran hindert, den betreffenden Benutzer zu tracken oder auszusperren.

Nicht betroffen ist der Webserver selbst, der weiterhin die richtige IP-Adresse protokolliert.

Die Schwachstelle ist bestätigt für Version 2.0.8a und niedriger.

Stimmt das?

Ja das stimmt und ist glaube ich im News Forum.
Um das Sicherheitsloch zu schließen solltest du HTML auf "Nicht erlauben" stellen, dann kann nichts passieren.

EDIT: SORRY, falsches Sicherheitsproblem, hab mal wieder nicht gescheit gelesen

Grüße,
Dani

[Schumi]

Ja, das stimmt. Paul hat diese Lücke bereits am 22.04 im CVS gefixed. Allerdings gab es deswegen noch kein neues Release.

[DaniM]

Besteht die Sicherheitslücke also immer noch im aktuellen Release?

Grüße,
Dani

[Dennis63]

Wer lesen kann ist klar im Vorteil. Lies mal, was Schumi geschrieben hat...

Grüße
Dennis

[itst]

phpBB - IP-Spoofing

Veröffentlichung 21.04.2004
Warnstufe Unkritisch
Auswirkung Fälschen der Identität
Angriffsweg von extern
OS betriebssystemunabhängig
Software phpBB 2.x

[Fabian]

Was könnte ein User machen, wenn die Sicherheitslücke nicht geschlossen ist?

[itst]

Er könnte über den HTTP-Header seine IP fälschen, was dazu führen würde, das statt seiner richtigen IP diese falsche IP als Session-IP benutzt wird.

Auswirkungen:

Bei jedem Post wird die IP des Posters gespeichert. In diesem Fall eben seine falsche.

phpBB erlaubt es dem Administrator, IPs zu sperren. Ist die IP eines Benutzers gesperrt, kann er so dennoch das Forum nutzen.

Bewertung:

Da das Forum bei jedem Post die IP speichert, könnte ein Benutzer das Forum täuschen und immer von einer anderen (falschen) IP posten. Was ihm das bringt: nichts.

Die Aushebelung der IP-Sperre ist da schon etwas kritischer zu sehen. Aber nur etwas: 90% der Benutzer eines Webforums haben dynamische IPs, also ist eine IP-Sperre sowieso Augenwischerei. Hat aber jemand tatsächlich eine statische IP, und hat dieseer Nutzer böse Absichten, kann er eine eventuell gegen seine IP aktive Sperre umgehen. Da phpBB aber auch andere Sperren kennt (Benutzername, E-Mail-Adresse) und auch einzelne Accounts deaktivieren kann (Wirkung ähnlich wie eine Sperre), bringt das Umgehen der IP-Sperre wenig bis nichts.

Andere Auswirkungen (Übernahme von Sessions, Erlangung von Admin- oder Mod-Rechten) hat dieses Problem nicht.