Es wird wohl nochmal ein update von der phpBB Group kommeneiskuh hat geschrieben:und was ist nun hieraus geworden?
phpBB Version 2 (alle) hackbar!!!
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
~inohnmachtfall~ 
http://sourceforge.net/mailarchive/foru ... um_id=2657
Da sind die Änderungen Ich habe sie bei mir schon eingebaut
Da sind die Änderungen
Ich habe sie bei mir schon eingebaut-
Christian_W
- Ehemaliges Teammitglied
- Beiträge: 5703
- Registriert: 26.02.2004 00:09
Der verlinkte Thread beschreibt, so wie ich das sehe, das Ausnutzen einer Lücke vor phpBB2.0.13. Der sogenannte Hacker hat wohl Glück gehabt, dass das bei ihm geklappt hat. Jedenfalls schlägt er als Lösung vor eine Zeile zu ändern die so in phpBB2.0.13 aber schon vorhanden ist.
http://www.php.de/viewtopic.php?p=232755#232755
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=267563
Trotzdem scheint es eine (mögliche?) Lücke zu geben:
http://www.securityfocus.com/archive/1/392481
Ich konnte durch anpassen meines Cookies das Ganze nicht nachvollziehen. Im nächsten Update wird es diese Lücke jedenfalls nicht mehr geben: Änderung in CVS (das komplette Array $userdata wird neu aufgebaut)
Wann es das nächste Update gibt weiß ich nicht. Updates werden von phpbb.com herausgegeben, darauf haben wir keinen Einfluss. Auch haben wir nicht mehr Informationen als die, die Ihr selbst dort nachlesen könnt.
Gruß Christian
http://www.php.de/viewtopic.php?p=232755#232755
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=267563
Trotzdem scheint es eine (mögliche?) Lücke zu geben:
http://www.securityfocus.com/archive/1/392481
Ich konnte durch anpassen meines Cookies das Ganze nicht nachvollziehen. Im nächsten Update wird es diese Lücke jedenfalls nicht mehr geben: Änderung in CVS (das komplette Array $userdata wird neu aufgebaut)
Wann es das nächste Update gibt weiß ich nicht. Updates werden von phpbb.com herausgegeben, darauf haben wir keinen Einfluss. Auch haben wir nicht mehr Informationen als die, die Ihr selbst dort nachlesen könnt.
Gruß Christian
---
