phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Diskussion zu phpBB 2.0.23 veröffentlicht

https://www.phpbb.de/community/viewtopic.php?t=165201

Seite 2 von 3

Verfasst: 18.02.2008 17:02
von Brainhead
dass ich CTracker von CBack installiert habe, mach ich mir wegen der Sicherheit keine großen Sorgen
1. Das Ding filtert nur Attacken über die URL, sprich man kann alle Exploits immer noch anwenden, wenn die Lücke in $_POST ist.
2. Ist das Teil nicht so schlau, es filtert UNION und union aber nicht z.B. uNiOn
3. Hat es selber ne XSS Lücke (User agent) die aber nicht gefährlich ist, man kann ja niemanden bringen den Useragent zu ändern xD

Alles im allem, gar nicht so ein gutes Teil wie alle glauben, jedoch weiß ich nicht wie es bei neueren Versionen aussieht, ich denke mal es hat sich nicht viel geändert.
mal schauen, wann die Meldung auf milw0rm kommt)
Die Lücke ist harmlos, diese habe ich bereits vor längerer Zeit auf Securityfocus gemeldet und stellt lediglich eine XSRF Lücke im PM-Managment dar(man kann fremde PM's löschen), also nicht wirklich eine "Lücke".

Verfasst: 18.02.2008 18:00
von oxpus
Frage vorab: Hast Du den CT mal selber getestet oder sind das nur Vermutungen, die Du hier anstellst?
Brainhead hat geschrieben:1. Das Ding filtert nur Attacken über die URL, sprich man kann alle Exploits immer noch anwenden, wenn die Lücke in $_POST ist.
Bevor ein PHP-Script eine $_POST-Variable überhaupt ausliest, ist der CT bereits unterwegs gewesen. Und gerade die Super Globals werden geprüft!
Brainhead hat geschrieben:2. Ist das Teil nicht so schlau, es filtert UNION und union aber nicht z.B. uNiOn
Der CT vergleicht alles in Kleinschrift, also wäre es egal, ob mal UNION, union oder gar UnIoN schreibt.
Brainhead hat geschrieben:3. Hat es selber ne XSS Lücke (User agent) die aber nicht gefährlich ist, man kann ja niemanden bringen den Useragent zu ändern xD
Weiß das Cback auch schon? Sonst solltest Du es fairnesshalber ihm mal mitteilen...
Brainhead hat geschrieben:Alles im allem, gar nicht so ein gutes Teil wie alle glauben, jedoch weiß ich nicht wie es bei neueren Versionen aussieht, ich denke mal es hat sich nicht viel geändert.
Dann stelle ich mir die Frage, auf welche Version sich Deine Aussagen beziehen. Aktuell ist heute die 5.0.6 rausgekommen.

Also bitte dann etwas mehr Zurückhaltung und bessere Recherche, bevor solche Halbwahrheiten in die Welt gesetzt werden!

Und klar, bin ich schon dabei, wenn es heisst: Der CT ist nicht alles.
Er kann auch nur so gut sein, wie der Admin sein Board und die dafür geschaffene Umgebung absichert.
Aber ohne ist ein gemoddetes Board immer unsicherer, als mit. Und das darf man auch nicht verschweigen!
100% Schutz sind nur offline gegeben. Online nie ;)

Verfasst: 18.02.2008 20:02
von _roger_
Hi!
Hatten heute bezüglich des Updates von phpBB 2.0.22 auf phpBB 2.0.23 sowohl mit der manuellen Änderung, als auch über die Pachtfile-Methode über Linux Probleme.
(Der Aufruf von der update_to_latest.php brachte folgende Fehlermeldung):

Code: Alles auswählen

Parse error: syntax error, unexpected '}' in /var/kunden/webs/b1/domainname/forum-vor-patchtest/includes/functions_admin.php on line 51
Woran könnte das liegen?
Aber nun zu meiner eigentlichen Frage:

Wird der Support von phbBB2 auf kurz od. lang eingestellt?
Denn wenn ja, spare ich mir lieber "das Prozedere", steige lieber um, denn dann bin ich eh in wenigen Monaten am gleichen Punkt wie jetzt.


Grüße,
Roger

Verfasst: 18.02.2008 20:12
von Boecki91
Der Fehler beruht vermutlich auf einem Fehler beim Einbau. Oder in der Anleitung.

phpBB2 Support wird auf lange Zeit gesehen eingestellt, was ja auch logisch ist. Wann das geschehen wird ist noch nicht abzusehen, aber es dauert noch...

Ich selbst bin schon mit "meinen" Foren auf phpßBB3 umgestiegen, deshalb habe ich mir das Update auch nicht näher angeschaut.

Verfasst: 18.02.2008 20:18
von Brainhead
Ok meine Aussagen beziehen sich auf den aktuellen: Stand Alone Ctracker, ich dachte dass der für phpBB2 genau der gleiche ist.


Weiß das Cback auch schon? Sonst solltest Du es fairnesshalber ihm mal mitteilen...
Ich weiß nicht ob es CBACK weiß, aber wenn die schon sowas, was absichert schreiben, müssten die das wissen. Ausserdem ist es ungefährlich.
$cracktrack = $_SERVER['QUERY_STRING'];
$wormprotector = array('chr(', 'chr=', 'chr%20', '%20chr', 'wget%20', '%20wget', 'wget(',
'cmd=', '%20cmd', 'cmd%20', 'rush=', '%20rush', 'rush%20',
'union%20', '%20union', 'union(', 'union=', 'echr(', '%20echr', 'echr%20', 'echr=',
'esystem(', 'esystem%20', 'cp%20', '%20cp', 'cp(', 'mdir%20', '%20mdir', 'mdir(',
'mcd%20', 'mrd%20', 'rm%20', '%20mcd', '%20mrd', '%20rm',
'mcd(', 'mrd(', 'rm(', 'mcd=', 'mrd=', 'mv%20', 'rmdir%20', 'mv(', 'rmdir(',
'chmod(', 'chmod%20', '%20chmod', 'chmod(', 'chmod=', 'chown%20', 'chgrp%20', 'chown(', 'chgrp(',
'locate%20', 'grep%20', 'locate(', 'grep(', 'diff%20', 'kill%20', 'kill(', 'killall',
'passwd%20', '%20passwd', 'passwd(', 'telnet%20', 'vi(', 'vi%20',
'insert%20into', 'select%20', 'nigga(', '%20nigga', 'nigga%20', 'fopen', 'fwrite', '%20like', 'like%20',
'$_request', '$_get', '$request', '$get', '.system', 'HTTP_PHP', '&aim', '%20getenv', 'getenv%20',
'new_password', '&icq','/etc/password','/etc/shadow', '/etc/groups', '/etc/gshadow',
'HTTP_USER_AGENT', 'HTTP_HOST', '/bin/ps', 'wget%20', 'uname\x20-a', '/usr/bin/id',
'/bin/echo', '/bin/kill', '/bin/', '/chgrp', '/chown', '/usr/bin', 'g\+\+', 'bin/python',
'bin/tclsh', 'bin/nasm', 'perl%20', 'traceroute%20', 'ping%20', '.pl', '/usr/X11R6/bin/xterm', 'lsof%20',
'/bin/mail', '.conf', 'motd%20', 'HTTP/1.', '.inc.php', 'config.php', 'cgi-', '.eml',
'file\://', 'window.open', '<SCRIPT>', 'javascript\://','img src', 'img%20src','.jsp','ftp.exe',
'xp_enumdsn', 'xp_availablemedia', 'xp_filelist', 'xp_cmdshell', 'nc.exe', '.htpasswd',
'servlet', '/etc/passwd', 'wwwacl', '~root', '~ftp', '.js', '.jsp', 'admin_', '.history',
'bash_history', '.bash_history', '~nobody', 'server-info', 'server-status', 'reboot%20', 'halt%20',
'powerdown%20', '/home/ftp', '/home/www', 'secure_site, ok', 'chunked', 'org.apache', '/servlet/con',
'<script', '/robot.txt' ,'/perl' ,'mod_gzip_status', 'db_mysql.inc', '.inc', 'select%20from',
'select from', 'drop%20', '.system', 'getenv', 'http_', '_php', 'php_', 'phpinfo()', '<?php', '?>', 'sql=');

$checkworm = str_replace($wormprotector, '*', $cracktrack);
Wird hier auch nur irgendwo uNiOn oder so gefilltert. Es wird also nicht alles in kleinbuchstaben umgewandelt und dann geprüft.

WIe du sieht $_SERVER['QUERY_STRING'], dass bedeutetet meine Aussage auf $_POST Variablen stimmt. Auch kann man select+ etc. verwenden da select %20 nur gefiltert wird.



Schließlich noch die XSS Lücke.
$cremotead = $_SERVER['REMOTE_ADDR'];
$cuseragent = $_SERVER['HTTP_USER_AGENT'];

die( "Attack detected! <br /><br /><b>Dieser Angriff wurde erkannt und blockiert:</b><br />$cremotead - $cuseragent" );

Ich weiß nicht wie der phpBB2 Mod ist, vielleicht schau ich irgendwann mal nach.

bevor solche Halbwahrheiten
Auf den Stand Alone Ctracker trifft ja alles zu ;-)

Verfasst: 18.02.2008 21:35
von mr.no-name
Wird an den Sprachdateien denn nun noch etwas verändert, oder kann man ruhigen Gewissens das Update einbauen, ohne dann in zwei Tagen erneut "ran" zu müssen?

Verfasst: 18.02.2008 22:00
von PhilippK
Ich gehe derzeit davon aus, dass der Tage noch was rauskommt. Ansonsten müsstest du ein Päkchen Zeit vorbeischicken - dann geht's schneller :wink:

Gruß, Philipp

Verfasst: 18.02.2008 22:12
von mr.no-name
Ich befürchte, dass das Päckchen Zeit zu spät ankommen würde, da es ja erst morgen Abend auf die Reise gehen würde :D

Aber danke für die Info, dann weiß ich schonmal Bescheid.

Verfasst: 19.02.2008 23:31
von hackepeter13
Sagt mal seh ich falsch :roll:
Also wenn man <td> öffnet, sollte man das auch wieder mit </td> schließen, oder?!

Also sollte das auch in der "styles_edit_body.tpl" geschehen.

Ich weiß jetzt nicht wie die anderen Update-Packete aussehen, aber im "2.0.22 to phpBB 2.0.23 Code Changes" Packet, sollten sich die Macher noch einmal den Replace Teil für die "styles_edit_body.tpl" Datei anschauen.
Da wird nämlich immer die dritte Spalte nicht geschloßen. ;-)

PS: erstaunlich das der Fehler auch schon in der 2.0.22er Version war und es keiner bislang mitbekommen hatte.

Verfasst: 20.02.2008 23:23
von gn#36
hackepeter13 hat geschrieben: PS: erstaunlich das der Fehler auch schon in der 2.0.22er Version war und es keiner bislang mitbekommen hatte.
Naja wenn man immer gleich sämtliche Fehler mitbekommen würde, dann wäre der erste auch zugleich der letzte Release, und Exploits gäbe es wohl auch nicht...

http://www.phpbb.com/bugs/ ;)
Alle Zeiten sind UTC+02:00
Seite 2 von 3

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de