phpBB.de

Ich verstehe nicht, warum die phpBB Group einen Workaround macht.
Das ist kein Bugfix, da es sich hier um einen Bug in PHP handelt. Sämtliche Scripts, die diese Funktionen beinhalten, sind angreifbar.
Siehe hier:
http://www.hardened-php.net/advisories/012004.txt

Dies macht den Code des phpBB eigentlich nur unsauber, indem sich irgendwie drumrumgemogelt wird, weil in PHP ein Bug ist.
Vielmehr sollte den Usern dazu geraten werden, ihre PHP Version zu updaten. vBulletin Germany macht es auch so.
Erst recht auf Shared Servern bringt so ein Workaround nichts. Da reicht es, wenn nur einer noch eines ohne Workaround hat, und alle haben direkt wieder den Wurm. Oder eben andere Scripts, für die es noch keinen Workaround gibt.
Man muß das Problem an der Wurzel beheben: PHP updaten!

Warum immer noch Buffer Overflows sowieo Memory Leaks so häufig sind, verstehe ich nicht.
Mittlerweile sollte es sich doch rumgesprochen haben, daß man nicht wild mit Pointern rumschießt und man statt strcpy bitte das sichere strncpy oder strlcpy nutzt. Das gilt ebenso für viele weitere Funktionen wie strcat.
Die Compiler generieren nicht umsonst mittlerweile eine Warnung beim Nutzen solcher unsicheren Funktionen. Und das sowas dann auch noch grade in PHP vorkommt, das es ja schon länger gibt...

Es gibt schon Gründe, warum man mit -Wall compilieren sollte, am besten noch -Werror, damit man auch keine Warnung verpaßt. Ebenso ist es wirklich nicht schwer, sich mal die sicheren Funktionen anzugewöhnen, sowie immer free() zu benutzen, wenn man einen Speicherbereich nicht mehr braucht.

Also, das phpBB ist hier unschuldig, die Kritik geht an die PHP Entwickler. Daß es auch anders geht, zeigen z.B. OpenBSD und NetBSD. In denen gab es schon länger keine kritischen Bugs mehr. Und remote schon gar nicht.

Also, die das phpBB ist hier unschuldig, die Kritik geht an die PHP Entwickler. Daß es auch anders geht, zeigen z.B. OpenBSD und NetBSD. In denen gab es schon länger keine kritischen Bugs mehr. Und remote schon gar nicht.

Aha, OpenBSD und NetBSD werden also mit keinerlei Remote Diensten
und erst recht nicht mit PHP ausgeliefert, gut zu wissen ;)

Ich glaub Du solltest hier keine Aepfel mit Birnen vergleichen. Es geht hier
nicht um Betriebssysteme/Distributionen sondern um Software auf diesen.
Der Bug in PHP wuerde genauso unter Open oder NetBSD funktionieren, sofern
eine betroffene Version installiert ist.

Ausserdem:

Only one remote hole in the default install, in more than 8 years!

Da mussten sich die OpenBSDler auch korrigieren, in dem tollen System
laeuft zwar nix ausser nem OpenSSH per Default, aber genau da war
dann ein Bug drin ;)

Regards,
Darkman

_Darkman_ hat geschrieben:...
Ich glaub Du solltest hier keine Aepfel mit Birnen vergleichen. Es geht hier
nicht um Betriebssysteme/Distributionen sondern um Software auf diesen.
Der Bug in PHP wuerde genauso unter Open oder NetBSD funktionieren, sofern
eine betroffene Version installiert ist.
...

besser kann man es nicht sagen

Hallo!

Du scheinst nicht wirklich gut informiert zu sein.
PHP wurde noch nie einem BSD in der Standarddistribution beigelegt - eben grade aus Sicherheitsgründen. Nur OpenBSD wird ein Apache beigelegt, was ich auch nicht grade gut heiße.
Natürlich kann man das hier mit einer BSD Distribution vergleichen! Das ist kein Vergleich Äpfel <--> Birnen, da wir es hier nicht mit C <--> PHP zu tun haben, da PHP auch in C ist.
In den Kerneln sind Bugs sehr selten. Die Bugs sind viel öfter in Userland Software.
So, und wenn man die gesamte Standardsoftware (nicht den Kernel) da jetzt mit PHP vergleicht, so hat PHP doch wesentlich öfter was.
All das ändert immer noch nichts daran, daß es scheints ein paar Leute gibt, die sich free() und die sicheren Funktionen absolut nicht angewöhnen wollen. Das ist doch nun wirklich kein Problem. Selbst die Umstellung bei realloc ist schnell gemacht (viele machens falsch, siehe die BSD manpage zu malloc. Da steht, wie mans richtig macht). Nach ein paar mal hast Du die so drin, daß Du das immer automatisch machst.
Von daher verstehe ich es langsam echt nicht mehr...

PS: Klar würde der Bug auch unter Open- oder NetBSD funktionieren. PHP ist ja auch PHP, egal welches Unix oder generell OS. Das war nur als Beispiel gedacht um zu zeigen, daß es auch anders geht.

ciruZ hat geschrieben:Ich verstehe nicht, warum die phpBB Group einen Workaround macht.

du weisst aber schon, dass die version 2.0.11 einige *schwerwiegende* sicherheitslücken behebt, die unter anderem die ausführung von kommandos auf system-ebene ermöglichen, oder?

ciruZ hat geschrieben:Das ist kein Bugfix, da es sich hier um einen Bug in PHP handelt.

wissen oder vermutung? hast du bereits einen angriff analysiert?

woher weisst du das? hast du bereits einen angriff analysiert?

Änderungen in PHP angeguckt, Änderungen im phpBB angeguckt.
diff(1) läßt grüßen .

die highlight syntax (und das daraus resultierende problem) hat aber nichts mit dem unserialize problem in php zu tun (und funktioniert auch mit php 4.3.10 noch prima)

Davon rede ich auch nicht. Wie sollte auch das Highlighting - außer wenn system() verwendet würde - das Ausführen von belibigem Code ermöglich?
Mir geht es vielmehr, daß ein Workaround für PHP Bugs vorgenommen wurde. Halte ich nicht für sinnvoll, sinnvoller ist es, PHP zu updaten und dann eben die anderen Bugs im phpBB noch schließen.

ciruZ hat geschrieben:Hallo!
Du scheinst nicht wirklich gut informiert zu sein.

och, doch, glaub schon ;)

ciruZ hat geschrieben:PHP wurde noch nie einem BSD in der Standarddistribution beigelegt - eben grade aus Sicherheitsgründen.

Genau darum gehts aber GARNICHT ;) Die Leute hier WOLLEN phpBB o.ae.
betreiben und genau das geht ohne PHP nicht. Also ists scheiss egal welches
Betriebssystem PHP mitbringt oder nicht (ich glaub eine Minimalinstallation
mit jeder Distri bringt dir einen Server _ohne_ PHP o.ae., von daher kein
nennenswerter Vorteil)

So und nun genug darueber diskutiert, der Fakt das ein anderes OS gegen den
PHP-Bug genau null hilft, sollte auf der Hand liegen.

Oha da ist ja eine nette Diskussion draus geworden

Die Frage, die einer hier vorher im Tread schonmal gestellt hat, interessiert mich auch sehr brennend.
Ích habe das Update nun eingespielt. Wie kann ich nun testen, ob dies auch wirklich geklappt hat?

Danke für eure Antworten.

Gruß
Xelos