Diskussion zu phpBB 2.0.23 veröffentlicht

[Brainhead]

dass ich CTracker von CBack installiert habe, mach ich mir wegen der Sicherheit keine großen Sorgen

1. Das Ding filtert nur Attacken über die URL, sprich man kann alle Exploits immer noch anwenden, wenn die Lücke in $_POST ist.
2. Ist das Teil nicht so schlau, es filtert UNION und union aber nicht z.B. uNiOn
3. Hat es selber ne XSS Lücke (User agent) die aber nicht gefährlich ist, man kann ja niemanden bringen den Useragent zu ändern xD

Alles im allem, gar nicht so ein gutes Teil wie alle glauben, jedoch weiß ich nicht wie es bei neueren Versionen aussieht, ich denke mal es hat sich nicht viel geändert.

mal schauen, wann die Meldung auf milw0rm kommt)

Die Lücke ist harmlos, diese habe ich bereits vor längerer Zeit auf Securityfocus gemeldet und stellt lediglich eine XSRF Lücke im PM-Managment dar(man kann fremde PM's löschen), also nicht wirklich eine "Lücke".

[oxpus]

Frage vorab: Hast Du den CT mal selber getestet oder sind das nur Vermutungen, die Du hier anstellst?

1. Das Ding filtert nur Attacken über die URL, sprich man kann alle Exploits immer noch anwenden, wenn die Lücke in $_POST ist.

Bevor ein PHP-Script eine $_POST-Variable überhaupt ausliest, ist der CT bereits unterwegs gewesen. Und gerade die Super Globals werden geprüft!

2. Ist das Teil nicht so schlau, es filtert UNION und union aber nicht z.B. uNiOn

Der CT vergleicht alles in Kleinschrift, also wäre es egal, ob mal UNION, union oder gar UnIoN schreibt.

3. Hat es selber ne XSS Lücke (User agent) die aber nicht gefährlich ist, man kann ja niemanden bringen den Useragent zu ändern xD

Weiß das Cback auch schon? Sonst solltest Du es fairnesshalber ihm mal mitteilen...

Alles im allem, gar nicht so ein gutes Teil wie alle glauben, jedoch weiß ich nicht wie es bei neueren Versionen aussieht, ich denke mal es hat sich nicht viel geändert.

Dann stelle ich mir die Frage, auf welche Version sich Deine Aussagen beziehen. Aktuell ist heute die 5.0.6 rausgekommen.

Also bitte dann etwas mehr Zurückhaltung und bessere Recherche, bevor solche Halbwahrheiten in die Welt gesetzt werden!

Und klar, bin ich schon dabei, wenn es heisst: Der CT ist nicht alles.
Er kann auch nur so gut sein, wie der Admin sein Board und die dafür geschaffene Umgebung absichert.
Aber ohne ist ein gemoddetes Board immer unsicherer, als mit. Und das darf man auch nicht verschweigen!
100% Schutz sind nur offline gegeben. Online nie

[_roger_]

Hi!
Hatten heute bezüglich des Updates von phpBB 2.0.22 auf phpBB 2.0.23 sowohl mit der manuellen Änderung, als auch über die Pachtfile-Methode über Linux Probleme.
(Der Aufruf von der update_to_latest.php brachte folgende Fehlermeldung):

Code: Alles auswählen

Parse error: syntax error, unexpected '}' in /var/kunden/webs/b1/domainname/forum-vor-patchtest/includes/functions_admin.php on line 51

Woran könnte das liegen?
Aber nun zu meiner eigentlichen Frage:

Wird der Support von phbBB2 auf kurz od. lang eingestellt?
Denn wenn ja, spare ich mir lieber "das Prozedere", steige lieber um, denn dann bin ich eh in wenigen Monaten am gleichen Punkt wie jetzt.


Grüße,
Roger

[Boecki91]

Der Fehler beruht vermutlich auf einem Fehler beim Einbau. Oder in der Anleitung.

phpBB2 Support wird auf lange Zeit gesehen eingestellt, was ja auch logisch ist. Wann das geschehen wird ist noch nicht abzusehen, aber es dauert noch...

Ich selbst bin schon mit "meinen" Foren auf phpßBB3 umgestiegen, deshalb habe ich mir das Update auch nicht näher angeschaut.

[Brainhead]

Ok meine Aussagen beziehen sich auf den aktuellen: Stand Alone Ctracker, ich dachte dass der für phpBB2 genau der gleiche ist.

Weiß das Cback auch schon? Sonst solltest Du es fairnesshalber ihm mal mitteilen...

Ich weiß nicht ob es CBACK weiß, aber wenn die schon sowas, was absichert schreiben, müssten die das wissen. Ausserdem ist es ungefährlich.

$cracktrack = $_SERVER['QUERY_STRING'];
$wormprotector = array('chr(', 'chr=', 'chr%20', '%20chr', 'wget%20', '%20wget', 'wget(',
'cmd=', '%20cmd', 'cmd%20', 'rush=', '%20rush', 'rush%20',
'union%20', '%20union', 'union(', 'union=', 'echr(', '%20echr', 'echr%20', 'echr=',
'esystem(', 'esystem%20', 'cp%20', '%20cp', 'cp(', 'mdir%20', '%20mdir', 'mdir(',
'mcd%20', 'mrd%20', 'rm%20', '%20mcd', '%20mrd', '%20rm',
'mcd(', 'mrd(', 'rm(', 'mcd=', 'mrd=', 'mv%20', 'rmdir%20', 'mv(', 'rmdir(',
'chmod(', 'chmod%20', '%20chmod', 'chmod(', 'chmod=', 'chown%20', 'chgrp%20', 'chown(', 'chgrp(',
'locate%20', 'grep%20', 'locate(', 'grep(', 'diff%20', 'kill%20', 'kill(', 'killall',
'passwd%20', '%20passwd', 'passwd(', 'telnet%20', 'vi(', 'vi%20',
'insert%20into', 'select%20', 'nigga(', '%20nigga', 'nigga%20', 'fopen', 'fwrite', '%20like', 'like%20',
'$_request', '$_get', '$request', '$get', '.system', 'HTTP_PHP', '&aim', '%20getenv', 'getenv%20',
'new_password', '&icq','/etc/password','/etc/shadow', '/etc/groups', '/etc/gshadow',
'HTTP_USER_AGENT', 'HTTP_HOST', '/bin/ps', 'wget%20', 'uname\x20-a', '/usr/bin/id',
'/bin/echo', '/bin/kill', '/bin/', '/chgrp', '/chown', '/usr/bin', 'g\+\+', 'bin/python',
'bin/tclsh', 'bin/nasm', 'perl%20', 'traceroute%20', 'ping%20', '.pl', '/usr/X11R6/bin/xterm', 'lsof%20',
'/bin/mail', '.conf', 'motd%20', 'HTTP/1.', '.inc.php', 'config.php', 'cgi-', '.eml',
'file\://', 'window.open', '<SCRIPT>', 'javascript\://','img src', 'img%20src','.jsp','ftp.exe',
'xp_enumdsn', 'xp_availablemedia', 'xp_filelist', 'xp_cmdshell', 'nc.exe', '.htpasswd',
'servlet', '/etc/passwd', 'wwwacl', '~root', '~ftp', '.js', '.jsp', 'admin_', '.history',
'bash_history', '.bash_history', '~nobody', 'server-info', 'server-status', 'reboot%20', 'halt%20',
'powerdown%20', '/home/ftp', '/home/www', 'secure_site, ok', 'chunked', 'org.apache', '/servlet/con',
'<script', '/robot.txt' ,'/perl' ,'mod_gzip_status', 'db_mysql.inc', '.inc', 'select%20from',
'select from', 'drop%20', '.system', 'getenv', 'http_', '_php', 'php_', 'phpinfo()', '<?php', '?>', 'sql=');

$checkworm = str_replace($wormprotector, '*', $cracktrack);

Wird hier auch nur irgendwo uNiOn oder so gefilltert. Es wird also nicht alles in kleinbuchstaben umgewandelt und dann geprüft.

WIe du sieht $_SERVER['QUERY_STRING'], dass bedeutetet meine Aussage auf $_POST Variablen stimmt. Auch kann man select+ etc. verwenden da select %20 nur gefiltert wird.



Schließlich noch die XSS Lücke.

$cremotead = $_SERVER['REMOTE_ADDR'];
$cuseragent = $_SERVER['HTTP_USER_AGENT'];

die( "Attack detected! <br /><br /><b>Dieser Angriff wurde erkannt und blockiert:</b><br />$cremotead - $cuseragent" );

Ich weiß nicht wie der phpBB2 Mod ist, vielleicht schau ich irgendwann mal nach.

bevor solche Halbwahrheiten

Auf den Stand Alone Ctracker trifft ja alles zu

[mr.no-name]

Wird an den Sprachdateien denn nun noch etwas verändert, oder kann man ruhigen Gewissens das Update einbauen, ohne dann in zwei Tagen erneut "ran" zu müssen?

[PhilippK]

Ich gehe derzeit davon aus, dass der Tage noch was rauskommt. Ansonsten müsstest du ein Päkchen Zeit vorbeischicken - dann geht's schneller

Gruß, Philipp

[mr.no-name]

Ich befürchte, dass das Päckchen Zeit zu spät ankommen würde, da es ja erst morgen Abend auf die Reise gehen würde

Aber danke für die Info, dann weiß ich schonmal Bescheid.

[hackepeter13]

Sagt mal seh ich falsch
Also wenn man <td> öffnet, sollte man das auch wieder mit </td> schließen, oder?!

Also sollte das auch in der "styles_edit_body.tpl" geschehen.

Ich weiß jetzt nicht wie die anderen Update-Packete aussehen, aber im "2.0.22 to phpBB 2.0.23 Code Changes" Packet, sollten sich die Macher noch einmal den Replace Teil für die "styles_edit_body.tpl" Datei anschauen.
Da wird nämlich immer die dritte Spalte nicht geschloßen.

PS: erstaunlich das der Fehler auch schon in der 2.0.22er Version war und es keiner bislang mitbekommen hatte.

[gn#36]

PS: erstaunlich das der Fehler auch schon in der 2.0.22er Version war und es keiner bislang mitbekommen hatte.

Naja wenn man immer gleich sämtliche Fehler mitbekommen würde, dann wäre der erste auch zugleich der letzte Release, und Exploits gäbe es wohl auch nicht...

http://www.phpbb.com/bugs/