Aufgrund schlechten Umgangs mit den Cookie-Daten sind generell ALLE Versionen des phpBB angreifbar.
JEDER kann sich als Admin einloggen - es bedarf scheinbar nicht viel Arbeit.
Mein Forum ist angegriffen worden. Die Beiträge waren alle weg.
Infos dazu unter:
http://www.php.de/ftopic34439.html
Nein - das ist nicht MEIN Forum. Aber dort steht wie es geht. Derjenige wollte sich eigentlich noch hierm melden. Scheint er aber nicht zu tun...
phpBB Version 2 (alle) hackbar!!!
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
supertramp
- Mitglied
- Beiträge: 6
- Registriert: 23.02.2005 09:27
-
Leuchte
- Ehemaliges Teammitglied
- Beiträge: 9179
- Registriert: 26.05.2003 14:57
- Wohnort: Duisburg
- Kontaktdaten:
Dein Forum ist php-info.de oder so ähnlich? Schlecht ge-updated würde ich sagen - denn sonst würde mit Version .0.13 die Versionsnummer nicht drunterstehen.
Merke: Nicht überall wo 'Neu' dransteht, ist auch 'Neu' drin.
Und php.de hatte keine aktuelle Version verwendet - und Mods verbaut. Theoretisch kann man sich mit jedem installierten Mod eine Sicherheitslücke reinreissen.
Merke: Nicht überall wo 'Neu' dransteht, ist auch 'Neu' drin.
Und php.de hatte keine aktuelle Version verwendet - und Mods verbaut. Theoretisch kann man sich mit jedem installierten Mod eine Sicherheitslücke reinreissen.
Man kann sagen kein php Script ist 100% sicher. Man kann auch sicher sein das vBulletin sicherheits relevante Bugs hat. Und wer immer die Aktuelle Version von phpBB nimmt braucht sich auch kaum Sorgen zu machen. Wer sein Forum nicht wartet und pflegt braucht sich nicht zu wundern wenn was passiert.
Bye derd
Bye derd
-
supertramp
- Mitglied
- Beiträge: 6
- Registriert: 23.02.2005 09:27
sry - ich wußte nicht, dass euch das am Arsch vorbei geht.
btw: php-info.org war zu dem Zeitpunkt auf Version 2.0.13
Aber anscheinend habt ihr meinen post oben gar nicht gelesen.
Naja - nichts für ungut. Hätte ja sein können, dass euch das interessiert hätte.
btw: viel Spaß, wenn jmd auf die Idee kommt eure db kompl. zu löschen...
btw: php-info.org war zu dem Zeitpunkt auf Version 2.0.13
Aber anscheinend habt ihr meinen post oben gar nicht gelesen.
Naja - nichts für ungut. Hätte ja sein können, dass euch das interessiert hätte.
btw: viel Spaß, wenn jmd auf die Idee kommt eure db kompl. zu löschen...
-
larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
ich kenne mich zugegebenermassen nicht wirklich gut im phpbb-code aus, aber
abfragen zur authentifizierung *vermute* ich eher in third-party-mods als im 'plain-board' (wenn man einmal von der mitgliederliste absieht) und insbesondere nicht im adminbereich.
nichtsdestotrotz bin ich auf ein offizielles statement dazu gespannt, insbesondere da sich ja auch die secunia und co. der sache angenommen haben.
Code: Alles auswählen
$userdata['user_level'] = ADMIN;nichtsdestotrotz bin ich auf ein offizielles statement dazu gespannt, insbesondere da sich ja auch die secunia und co. der sache angenommen haben.
