Ich verstehe nicht, warum die phpBB Group einen Workaround macht.
Das ist kein Bugfix, da es sich hier um einen Bug in PHP handelt. Sämtliche Scripts, die diese Funktionen beinhalten, sind angreifbar.
Siehe hier:
http://www.hardened-php.net/advisories/012004.txt
Dies macht den Code des phpBB eigentlich nur unsauber, indem sich irgendwie drumrumgemogelt wird, weil in PHP ein Bug ist.
Vielmehr sollte den Usern dazu geraten werden, ihre PHP Version zu updaten. vBulletin Germany macht es auch so.
Erst recht auf Shared Servern bringt so ein Workaround nichts. Da reicht es, wenn nur einer noch eines ohne Workaround hat, und alle haben direkt wieder den Wurm. Oder eben andere Scripts, für die es noch keinen Workaround gibt.
Man muß das Problem an der Wurzel beheben: PHP updaten!
Warum immer noch Buffer Overflows sowieo Memory Leaks so häufig sind, verstehe ich nicht.
Mittlerweile sollte es sich doch rumgesprochen haben, daß man nicht wild mit Pointern rumschießt und man statt strcpy bitte das sichere strncpy oder strlcpy nutzt. Das gilt ebenso für viele weitere Funktionen wie strcat.
Die Compiler generieren nicht umsonst mittlerweile eine Warnung beim Nutzen solcher unsicheren Funktionen. Und das sowas dann auch noch grade in PHP vorkommt, das es ja schon länger gibt...
Es gibt schon Gründe, warum man mit -Wall compilieren sollte, am besten noch -Werror, damit man auch keine Warnung verpaßt. Ebenso ist es wirklich nicht schwer, sich mal die sicheren Funktionen anzugewöhnen, sowie immer free() zu benutzen, wenn man einen Speicherbereich nicht mehr braucht.
Also, das phpBB ist hier unschuldig, die Kritik geht an die PHP Entwickler. Daß es auch anders geht, zeigen z.B. OpenBSD und NetBSD. In denen gab es schon länger keine kritischen Bugs mehr. Und remote schon gar nicht.
WebWorm generation 4
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Aha, OpenBSD und NetBSD werden also mit keinerlei Remote DienstenAlso, die das phpBB ist hier unschuldig, die Kritik geht an die PHP Entwickler. Daß es auch anders geht, zeigen z.B. OpenBSD und NetBSD. In denen gab es schon länger keine kritischen Bugs mehr. Und remote schon gar nicht.
und erst recht nicht mit PHP ausgeliefert, gut zu wissen ;)
Ich glaub Du solltest hier keine Aepfel mit Birnen vergleichen. Es geht hier
nicht um Betriebssysteme/Distributionen sondern um Software auf diesen.
Der Bug in PHP wuerde genauso unter Open oder NetBSD funktionieren, sofern
eine betroffene Version installiert ist.
Ausserdem:
Da mussten sich die OpenBSDler auch korrigieren, in dem tollen SystemOnly one remote hole in the default install, in more than 8 years!
laeuft zwar nix ausser nem OpenSSH per Default, aber genau da war
dann ein Bug drin ;)
Regards,
Darkman
-
marino
besser kann man es nicht sagen_Darkman_ hat geschrieben:...
Ich glaub Du solltest hier keine Aepfel mit Birnen vergleichen. Es geht hier
nicht um Betriebssysteme/Distributionen sondern um Software auf diesen.
Der Bug in PHP wuerde genauso unter Open oder NetBSD funktionieren, sofern
eine betroffene Version installiert ist.
...
Hallo!
Du scheinst nicht wirklich gut informiert zu sein.
PHP wurde noch nie einem BSD in der Standarddistribution beigelegt - eben grade aus Sicherheitsgründen. Nur OpenBSD wird ein Apache beigelegt, was ich auch nicht grade gut heiße.
Natürlich kann man das hier mit einer BSD Distribution vergleichen! Das ist kein Vergleich Äpfel <--> Birnen, da wir es hier nicht mit C <--> PHP zu tun haben, da PHP auch in C ist.
In den Kerneln sind Bugs sehr selten. Die Bugs sind viel öfter in Userland Software.
So, und wenn man die gesamte Standardsoftware (nicht den Kernel) da jetzt mit PHP vergleicht, so hat PHP doch wesentlich öfter was.
All das ändert immer noch nichts daran, daß es scheints ein paar Leute gibt, die sich free() und die sicheren Funktionen absolut nicht angewöhnen wollen. Das ist doch nun wirklich kein Problem. Selbst die Umstellung bei realloc ist schnell gemacht (viele machens falsch, siehe die BSD manpage zu malloc. Da steht, wie mans richtig macht). Nach ein paar mal hast Du die so drin, daß Du das immer automatisch machst.
Von daher verstehe ich es langsam echt nicht mehr...
PS: Klar würde der Bug auch unter Open- oder NetBSD funktionieren. PHP ist ja auch PHP, egal welches Unix oder generell OS. Das war nur als Beispiel gedacht um zu zeigen, daß es auch anders geht.
Du scheinst nicht wirklich gut informiert zu sein.
PHP wurde noch nie einem BSD in der Standarddistribution beigelegt - eben grade aus Sicherheitsgründen. Nur OpenBSD wird ein Apache beigelegt, was ich auch nicht grade gut heiße.
Natürlich kann man das hier mit einer BSD Distribution vergleichen! Das ist kein Vergleich Äpfel <--> Birnen, da wir es hier nicht mit C <--> PHP zu tun haben, da PHP auch in C ist.
In den Kerneln sind Bugs sehr selten. Die Bugs sind viel öfter in Userland Software.
So, und wenn man die gesamte Standardsoftware (nicht den Kernel) da jetzt mit PHP vergleicht, so hat PHP doch wesentlich öfter was.
All das ändert immer noch nichts daran, daß es scheints ein paar Leute gibt, die sich free() und die sicheren Funktionen absolut nicht angewöhnen wollen. Das ist doch nun wirklich kein Problem. Selbst die Umstellung bei realloc ist schnell gemacht (viele machens falsch, siehe die BSD manpage zu malloc. Da steht, wie mans richtig macht). Nach ein paar mal hast Du die so drin, daß Du das immer automatisch machst.
Von daher verstehe ich es langsam echt nicht mehr...
PS: Klar würde der Bug auch unter Open- oder NetBSD funktionieren. PHP ist ja auch PHP, egal welches Unix oder generell OS. Das war nur als Beispiel gedacht um zu zeigen, daß es auch anders geht.
Zuletzt geändert von ciruZ am 20.12.2004 22:27, insgesamt 1-mal geändert.
-
larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
du weisst aber schon, dass die version 2.0.11 einige *schwerwiegende* sicherheitslücken behebt, die unter anderem die ausführung von kommandos auf system-ebene ermöglichen, oder?ciruZ hat geschrieben:Ich verstehe nicht, warum die phpBB Group einen Workaround macht.
wissen oder vermutung? hast du bereits einen angriff analysiert?ciruZ hat geschrieben:Das ist kein Bugfix, da es sich hier um einen Bug in PHP handelt.
Davon rede ich auch nicht. Wie sollte auch das Highlighting - außer wenn system() verwendet würde - das Ausführen von belibigem Code ermöglich?
Mir geht es vielmehr, daß ein Workaround für PHP Bugs vorgenommen wurde. Halte ich nicht für sinnvoll, sinnvoller ist es, PHP zu updaten und dann eben die anderen Bugs im phpBB noch schließen.
Mir geht es vielmehr, daß ein Workaround für PHP Bugs vorgenommen wurde. Halte ich nicht für sinnvoll, sinnvoller ist es, PHP zu updaten und dann eben die anderen Bugs im phpBB noch schließen.
och, doch, glaub schon ;)ciruZ hat geschrieben:Hallo!
Du scheinst nicht wirklich gut informiert zu sein.
Genau darum gehts aber GARNICHT ;) Die Leute hier WOLLEN phpBB o.ae.ciruZ hat geschrieben:PHP wurde noch nie einem BSD in der Standarddistribution beigelegt - eben grade aus Sicherheitsgründen.
betreiben und genau das geht ohne PHP nicht. Also ists scheiss egal welches
Betriebssystem PHP mitbringt oder nicht (ich glaub eine Minimalinstallation
mit jeder Distri bringt dir einen Server _ohne_ PHP o.ae., von daher kein
nennenswerter Vorteil)
So und nun genug darueber diskutiert, der Fakt das ein anderes OS gegen den
PHP-Bug genau null hilft, sollte auf der Hand liegen.
