Betrifft die Sicherheitslücke in PHP

webspace24 · Beitrag von **webspace24** » 22.12.2004 19:00

Ab sofort verwendet webspace24.de nur noch PHP Version 4.3.10: http://www.webspace24.de

Lucretia · Beitrag von **Lucretia** » 24.12.2004 09:19

larsneo hat geschrieben: 1) der wurm befällt nur phpBB2 boards < 2.0.11
...
4) php selber sollte (augrund diverser anderer sicherheitslücken) definitiv auf 4.3.10 aktualisiert werden

wenn bei meinem Provider 4.3.10 läuft, MUSS ich dann meine Boards auch schnellstmöglich updaten oder kann dann nichts mehr passieren?

Hab eins mit 2.04 und eins mit 2.07 laufen, da sitz ich ja ewig am Update - aber da ich gesten über ne Page gestoplert bin, der dieser Virus alle Daten gekillt hat ist mir wegen meiner Datenbanken echt schlecht geworden

Daher würde ich das Problem gern so schnell wie möglich beheben...

von wegen günstige Provider, ich bin bei allinkl - die ziehen deine Pages auf Anfrage auf nen Server mit PHP 4.3.10 um, haben das wohl noch nicht auf allen Servern laufen...

larsneo · Beitrag von **larsneo** » 24.12.2004 09:25

Lucretia hat geschrieben:
larsneo hat geschrieben: 1) der wurm befällt nur phpBB2 boards < 2.0.11
...
4) php selber sollte (augrund diverser anderer sicherheitslücken) definitiv auf 4.3.10 aktualisiert werden

wenn bei meinem Provider 4.3.10 läuft, MUSS ich dann meine Boards auch schnellstmöglich updaten oder kann dann nichts mehr passieren?

wie oben bereits geschrieben sind das zwei unterschiedliche dinge. der wurm greift durch das sog. highlight-exploit phpbb2 installationen < 2.0.11 an (d.h. der fix für die viewtopic.php liefert dagegen erste hilfe). man sollte aber berücksichtigen, dass frühere versionen andere sicherheitslücken - bis hin zur anzeige des admin-kennwortes - beinhalten, von daher ist ein vollständiges update dringend anzuraten.

php-versionen vor 4.3.10 können auf der anderen seite dazu führen, dass beispielsweise die config.php von angreifern ausgelesen werden kann (allerdings fehlt mir dazu bislang noch der POC) - aus diesem grund sollte man updaten (lassen).

Lucretia · Beitrag von **Lucretia** » 24.12.2004 09:35

ah okay, danke - mir ging es vorerst nur um diesen Wurm, solange nur das Forum Sicherheitslücken hat kann ich auch noch ein paar Tage damit leben

Diesen Fix hab ich heute Nacht schon eingebaut - jetzt laufen zwar meine Foren nicht mehr (weisst du zufällig ob meine Foren evtl. zu alt sind für den Fix, oder war ich zu blöd?

), aber egal, auch damit kann ich ein paar Tage leben. Hauptsache meine ganzen Datenbanken kommen nicht weg

BraveEagle · Beitrag von **BraveEagle** » 24.12.2004 09:49

Dieser Wurm sollte so auch keine Bedrohung mehr für alte Boards sein:

http://www.heise.de/newsticker/meldung/54550

Aber die Sicherheitslücken sind da und es wird wohl nur eine Frage der Zeit sein, bis ein andrer Wurm Google umgeht und selbst nach den Lücken sucht

felixx · Beitrag von **felixx** » 24.12.2004 14:09

Dieser Wurm sollte so auch keine Bedrohung mehr für alte Boards sein:

Nicht ganz richtig, da hat sich mal wieder etwas getan

http://www.heise.de/newsticker/meldung/54612

BraveEagle · Beitrag von **BraveEagle** » 24.12.2004 15:54

k. war ja klar das sowas kommt

phpBB.de

Betrifft die Sicherheitslücke in PHP

PHP Version 4.3.10 installiert bei webspace24.de