Neu von: http://www.securiteam.com
----
Registering multiple users and performing malformed search queries using
these users can be used to cause a DoS against the phpBB product.
DETAILS
Vulnerable Systems:
* phpBB version 2.0.15 and prior
----
Kann das auch auch Boards betreffen, bei denen die visuelle Code-Bestätigung eingeschaltet ist?
Lücke in 2.0.15 ?
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Eine DOS-Attacke kannst du so gut wie auf jeden Web-Server fahren. Du kannst auch versuchen, Goggle mit tausenden Anfragen pro Sekunde bombadieren und hoffen, dass der Server schlapp macht...
Eine wirkliche phpBB-spezifische Sicherheitslücke sehe ich da eigentlich nicht.
Gruß, Philipp
Eine wirkliche phpBB-spezifische Sicherheitslücke sehe ich da eigentlich nicht.
Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Und wenn man sich zusätzlich zur immer aktuell gehaltenen phpBB-Version absichern möchte, kann man auch den Cracker Tracker Professional 3.0.1 einbauen.
Gruß Max
Featurelist
Doppelengine
Basic Protection und Extended Protection laufen unabhängig voneinander. Wird die Definitionsdatei
zerstört oder beschädigt, dann schützt die Basic Protection auf jeden Fall noch weiter
Injection Detection
Bekannt aus der Extreme Edition, auch in der Professional Edition in gleicher Form enthalten.
Login Protection Engine
Schützt vor Session-Fakes oder Cookie-Fakes und blockt also auch bei alten phpBB Versionen
die im Loginsystem enthaltenen Exploits.
Search Protection Engine
Das Problem der Xtreme Edition mit dem Highlighter ist nun gelöst durch ein Engine welches
die Suche schützt aber keine Meldung ausgibt wenn man nach einem "Bösen Wort" sucht. Das
System schreibt erstens mal die Highlighting Funktion um, da die Würmer dann diesen
Parameter schon mal vorneweg noch nicht kennen. Zweitens Prüft CrackerTracker, ob der
Request des Highlightings wirklich vom Board ausging und nicht nachträglich hinzugefügt
wurde. Zuletzt schaut CrackerTracker dann, ob in dem Highlighting Request böse sachen
drinstehen. Wenn das der Fall ist kommt keine Meldung, dafür schreibt CrackerTracker direkt
die Aufruf-URL um und entfernt damit jeglichen bösartigen Code aus der URL.
Neue ACP Gestaltung der Hauptmodule
Die Bewährte Aufmachung der Logfile-Module hab ich gelassen, aber alle anderen
Bereiche des ACPs haben ein neues Layout bekommen
Choose Footer
Über das ACP kann man wählen, welche Art von Footer angezeigt werden soll. Ein Button,
ein Textlink, ein Mini-Button, Mini Button mit Angriffsstatistik oder Textlink mit Angriffsstatistik.
Definition Update
Da weiß ich noch nicht obs vollautomatisch sein kann oder ob man halt einfach nur neue
Definitionsdateien herunterladen und dann die alte ersetzen kann. Ich denke mal letzteres,
da viele Webserver Probleme mit der Verbindung zu anderen Servern haben um Definitionen
runterzuladen und automatisch zu installieren. Aber es wäre dann immer nur die eine
Definitionsdatei die man hochladen muss.
Größe der Logdateien im ACP bestimmen
Keine Erklärung nötig, man kann Einstellen wieviele Einträge im Log sein dürfen bis es
geleert wird.
Modularer MOD-Aufbau
Ich habe nun auf Modularen MOD-Aufbau gesetzt. Die einzelnen Engines können ausfallen
ohne die anderen zu stoppen, außerdem kann der MOD später bei Kernupdates durch einfaches
Ersetzen von Dateien aktualisiert werden. Änderungen an den Boardfiles sind ebenfalls sehr
einfach durchzuführen dadurch, da man nur an ein paar Stellen jetzt die Module einbinden muss
und das wars schon.
Definitionen
Die Mitgelieferte Definitionsdatei erkennt alle Arten von Würmern und hat schon heuristisch
vorgesorgt, blockt z.B versuche Pearl Skripte auszuführen oder config.php irgendwo in der
URL reinzuhängen oder oder oder
und vieles mehr
Just Security... aber der Besonderern Art
Gruß Max
