phpBB-Module reißen Sicherheitslöcher auf

Peggy · Beitrag von **Peggy** » 30.05.2006 16:54

Was stimmt denn mit der Nivisec Hacks List nicht?
Gibts da schon einen Fix?

Ich bekomme übrigens einen Internal Server Error, wenn ich register_globals per .htaccess off setze.

h-o · Beitrag von **h-o** » 30.05.2006 17:16

Peggy hat geschrieben:Was stimmt denn mit der Nivisec Hacks List nicht?

Das hier:

A vulnerability has been identified in Nivisec Hacks List (module for phpBB), which could be exploited by remote attackers to gain knowledge of sensitive information. This flaw is due to an input validation error in the "admin_hacks_list.php" script that does not validate the "phpEx" parameter, which could be exploited by remote attackers to include or disclose the contents of local files with the privileges of the web server.

Peggy hat geschrieben:Gibts da schon einen Fix?

Da in diesem Fall "nur" die Datei admin_hacks_list.php im admin-Verzeichnis betroffen ist, dürfte ein .htaccess-Schutz für das Verzeichnis "admin" schon mal ausreichen.

Peggy hat geschrieben:Ich bekomme übrigens einen Internal Server Error, wenn ich register_globals per .htaccess off setze.

Das erlaubt nicht jeder Webhoster bzw. funktioniert oft nur dann, wenn der Apache-Webserver als Modul geladen ist und nicht als CGI (kannst du mit phpinfo() rauskriegen; dritte Zeile "Server API"). Manche Webhoster gestatten allerdings, die Einstellungen selbst per php.ini vorzunehmen.

Erstelle einfache mal eine solche (leere) Datei, rufe phpinfo() mit einer PHP-Datei auf und schau, ob in der sechten Zeile (unter "Configuration File") deine php.ini interpretiert wird oder immer noch die deines Webhosters. In letzterem Falle hast du keine so guten Karten...

Peggy · Beitrag von **Peggy** » 30.05.2006 17:28

Ah, super, danke für die vielen Hinweise!

Ich konnte die php.ini über mein Kundenmenü per "Häkchen setzen" anpassen.

Aber wie ist das nochmal mit dem .htaccess-Schutz des /admin/-Ordners gemeint? per Passwort oder mit Deny from oder so ...?

kellanved · Beitrag von **kellanved** » 30.05.2006 17:30

Peggy hat geschrieben:Was stimmt denn mit der Nivisec Hacks List nicht?
Gibts da schon einen Fix?

Code: Alles auswählen

include($phpbb_root_path . 'extension.inc');

kommt erst nach der ersten Verwendung der $phpEx Variable. Zieht man es einige Zeilen hoch (direkt nach "define('IN_PHPBB', TRUE);") , ist das Problem behoben.

h-o · Beitrag von **h-o** » 30.05.2006 17:43

Peggy hat geschrieben:Aber wie ist das nochmal mit dem .htaccess-Schutz des /admin/-Ordners gemeint? per Passwort oder mit Deny from oder so ...?

Für das Verzeichnis admin eine .htaccess (und .htpasswd) anlegen, so wie es hier beschreiben ist.

Die andere .htaccess, die du wahrscheinlich in Erinnerung hast, sieht so aus wie die im .cache-Ordner, also

Code: Alles auswählen

<Limit GET POST PUT>
Order Allow,Deny
Deny from All
</Limit>

und blockt jeglichen direkten Zugriff "von außen", ist also mehr für die Verzeichniss "cache", "db", "includes" und "languages" geeignet, aber eher nicht für das admin-Verzeichnis

Feuerwolf · Beitrag von **Feuerwolf** » 30.05.2006 18:34

währe doch was für zukünftige phpBB versionen.

Peggy · Beitrag von **Peggy** » 30.05.2006 19:28

Anommander Rake hat geschrieben:
Peggy hat geschrieben:Was stimmt denn mit der Nivisec Hacks List nicht?
Gibts da schon einen Fix?
Code: Alles auswählen
include($phpbb_root_path . 'extension.inc');
kommt erst nach der ersten Verwendung der $phpEx Variable. Zieht man es einige Zeilen hoch (direkt nach "define('IN_PHPBB', TRUE);") , ist das Problem behoben.

Hui, danke für den Tipp. Aber damit bekam ich eine weisse Seite (No such file ...) im ACP.

Ich habe es mal so geamcht:

define('IN_PHPBB', TRUE);
define('MOD_VERSION', '1.20');
/* If for some reason you need to disable the version check in THIS HACK ONLY,
change the blow to TRUE instead of FALSE. No other hacks will be affected
by this change.
*/
define('DISABLE_VERSION_CHECK', FALSE);

$phpbb_root_path = '../';
include($phpbb_root_path . 'extension.inc');
(file_exists('pagestart.' . $phpEx)) ? include('pagestart.' . $phpEx) : include('pagestart.inc');
include_once($phpbb_root_path . 'language/lang_' . $board_config['default_lang'] . '/lang_admin_hacks_list.' . $phpEx);
include($phpbb_root_path.'includes/functions_hacks_list.'.$phpEx);

if( !empty($setmodules) )
{
include($phpbb_root_path . 'language/lang_' . $board_config['default_lang'] . '/lang_admin_hacks_list.' . $phpEx);
$filename = basename(__FILE__);
$module['General']['Hacks_List'] = $filename;

return;
}

Vorher sah es so aus:

define('IN_PHPBB', TRUE);
define('MOD_VERSION', '1.20');
/* If for some reason you need to disable the version check in THIS HACK ONLY,
change the blow to TRUE instead of FALSE. No other hacks will be affected
by this change.
*/
define('DISABLE_VERSION_CHECK', FALSE);

$phpbb_root_path = '../';
if( !empty($setmodules) )
{
include($phpbb_root_path . 'language/lang_' . $board_config['default_lang'] . '/lang_admin_hacks_list.' . $phpEx);
$filename = basename(__FILE__);
$module['General']['Hacks_List'] = $filename;

return;
}

include($phpbb_root_path . 'extension.inc');
(file_exists('pagestart.' . $phpEx)) ? include('pagestart.' . $phpEx) : include('pagestart.inc');
include_once($phpbb_root_path . 'language/lang_' . $board_config['default_lang'] . '/lang_admin_hacks_list.' . $phpEx);
include($phpbb_root_path.'includes/functions_hacks_list.'.$phpEx);

edit: ach Mist, geht auch nicht ... Fatal error: Cannot redeclare class template in /home/www/web49/html/peggy/includes/template.php on line 30

--------------

h-o hat geschrieben:Für das Verzeichnis admin eine .htaccess (und .htpasswd) anlegen, so wie es hier beschreiben ist. http://www.phpbb.de/doku/kb/htaccess

Das klappte leider gar nicht.

Habe nach Anleitung eine .htpasswd angelegt und in den admin-Ordner geworfen. Dann habe ich in die .htaccess, die in meinem Forenroot bzw. Domainroot (beides gleich) liegt, dieses ergänzt:

Code: Alles auswählen

AuthType Basic
AuthName "Restricted Directory"
AuthUserFile  /admin/.htpasswd
require valid-user

Plötzlich kam schon die Passwortabfrage, als ich ganz normal meine Seite aufgerufen haben.

h-o · Beitrag von **h-o** » 31.05.2006 10:28

Du musst eine eigene .htaccess-Datei ins Verzeichnis admin legen und nicht die im Stammverzeichnis liegende .htaccess ergänzen.

Außerdem muss der Pfad bei "AuthUserFile" der absolute Pfadname auf dem Webserver sein. Dazu muss - wie in der o. g. Anleitung beschrieben - der Befehl

Code: Alles auswählen

<?php echo dirname(__FILE__); ?>

in einer PHP-Datei ausgeführt werden, am bestem aus dem Admin-Verzeichnis heraus. Den Pfadnamen (z. B. /homepages/u12345/admin/) übernimmst du dann einfach in der Zeile "AuthUserfile" und hängst ".htpasswd" daran.

Rondom · Beitrag von **Rondom** » 03.06.2006 19:40

lol, phpBB Mods=phpBB Module

Weiterhin ist schon seit drei Tagen, d.h. bevor heise das gemeldet hat, ein Fix draußen!
http://www.wyrihaximus.net/blog/message ... plist_1.x/

snakepilsken · Beitrag von **snakepilsken** » 10.06.2006 21:58

larsneo hat geschrieben:
und all-inkl angeschrieben, ob sie die php Globals deaktivieren können.
via .htaccess
Code: Alles auswählen
# set register_globals=off
php_flag register_globals off
ebenfalls eine gute idee für einige chaos-mods:
Code: Alles auswählen
# set magic quotes settings on
php_flag magic_quotes_gpc on

Wenn ich das in die htaccess Datei eingebe bekomme ich folgenden fehler

Serverfehler!
Die Anfrage kann nicht beantwortet werden, da im Server ein interner Fehler aufgetreten ist. Der Server ist entweder überlastet oder ein Fehler in einem CGI-Skript ist aufgetreten.

Sofern Sie dies für eine Fehlfunktion des Servers halten, informieren Sie bitte den Webmaster hierüber.

Error 500

In der php.ini steht auch das register globals off ist, aber der Ctracker sagt es ist aktivierrt.
Was soll ich denn jetzt glauben

Wenn ich in die phpinfo schaue steht das das register_globals als local value an ist.

Wie bekomme ich das jetzt abgeschaltet ?

Gruß