unbekannte Sicherheitslücke?

Probleme bei der regulären Arbeiten mit phpBB, Fragen zu Vorgehensweisen oder Funktionsweise sowie sonstige Fragen zu phpBB im Allgemeinen.
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Antworten
atmike
Mitglied
Beiträge: 6
Registriert: 22.06.2005 09:57

unbekannte Sicherheitslücke?

Beitrag von atmike »

Gibt es irgendeine Sicherheitslücke in der neuesten phpBB Version die es einem ermöglicht Adminrechte zu erhalten?

Das Problem ist derzeit das Uniforum das ich administriere. Alle Admin und Serverpasswörter werden alle paar Wochen geändert und sind komplexe Buchstaben/Zahlenkombinationen.
Jedoch ist hin und wieder in der Nacht ein Adminuser online der eigentlich gar kein Admin sein sollte.
Wir haben zudem die Registrierung eingeschränkt sodass man sich nur mit einer Emailadresse der Uni registrieren kann. Seltsamerweise hat dieser "Hacker" immer Emailadressen in Verwendung die auf der Uni nicht aktiv sind und nicht mehr funktionieren.

Wir haben bereits alle Patches eingespielt...

Ist dazu irgendwas bekannt? Das lässtige ist zudem dass dieser Typ den normalen Usern immer mehr Rechte gibt um u.a. auch das Adminforum zu lesen.
Kommen tut er immer über eine Russische oder Romänische Ip...

??? :o
Nach oben
chuckebrink
Mitglied
Beiträge: 30
Registriert: 30.11.2003 19:59
Wohnort: Ahlen

Beitrag von chuckebrink »

Hallo,

ich weiß zwar nicht, ob es damit zutun hat, doch hab ich letztens auf phpbb2.de einen inoffizellen Patch zu einer Sicherheitslücke gefunden

http://www.phpbb2.de/viewtopic.php?t=30123

Gruß
Christopher
MFG das Chris
Nach oben
Benutzeravatar
kellanved
Mitglied
Beiträge: 570
Registriert: 05.02.2005 15:15
Wohnort: Berlin

Beitrag von kellanved »

Nein, mit dieser Sache kann man nicht ohne weiteres Adminrechte gewinnen. Ich wäre mit derartigen Patches vorsichtig, da man schnell unerwartete andere Lücken öffnet und das Board u.U. sehr viel langsamer wird.
Sieh Dir mal die Logdateien an - interessant wäre, wie er sich anmeldet, welche Informationen an das Board gesendet werden.
Nach oben
NetHunter

Beitrag von NetHunter »

Lass die Finger von inoffiziellen Patches. Auf boardunity hat Acidburn dazu Stellung genommen. Sie arbeiten daran.
Nach oben
Antworten

Zurück zu „phpBB 2.0: Administration, Benutzung und Betrieb“