Verfasst: 17.03.2005 15:35
Es wird wohl nochmal ein update von der phpBB Group kommeneiskuh hat geschrieben:und was ist nun hieraus geworden?
phpBB.de
phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/
phpBB Version 2 (alle) hackbar!!!
Seite 2 von 2
Verfasst: 17.03.2005 15:53
na denn mal los ~gg~
hab das nämlich mal alles nachvollzogen
~inohnmachtfall~
hab das nämlich mal alles nachvollzogen
~inohnmachtfall~ Verfasst: 17.03.2005 16:31
der zeitverzug und das fehlen eines offiziellen statements trübt allerdings mein bisher wirklich sehr gutes bild der phpBB-group in bezug auf sicherheit 
Verfasst: 17.03.2005 17:27
http://sourceforge.net/mailarchive/foru ... um_id=2657
Da sind die Änderungen Ich habe sie bei mir schon eingebaut
Da sind die Änderungen
Ich habe sie bei mir schon eingebautVerfasst: 19.03.2005 13:45
Der verlinkte Thread beschreibt, so wie ich das sehe, das Ausnutzen einer Lücke vor phpBB2.0.13. Der sogenannte Hacker hat wohl Glück gehabt, dass das bei ihm geklappt hat. Jedenfalls schlägt er als Lösung vor eine Zeile zu ändern die so in phpBB2.0.13 aber schon vorhanden ist.
http://www.php.de/viewtopic.php?p=232755#232755
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=267563
Trotzdem scheint es eine (mögliche?) Lücke zu geben:
http://www.securityfocus.com/archive/1/392481
Ich konnte durch anpassen meines Cookies das Ganze nicht nachvollziehen. Im nächsten Update wird es diese Lücke jedenfalls nicht mehr geben: Änderung in CVS (das komplette Array $userdata wird neu aufgebaut)
Wann es das nächste Update gibt weiß ich nicht. Updates werden von phpbb.com herausgegeben, darauf haben wir keinen Einfluss. Auch haben wir nicht mehr Informationen als die, die Ihr selbst dort nachlesen könnt.
Gruß Christian
http://www.php.de/viewtopic.php?p=232755#232755
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=267563
Trotzdem scheint es eine (mögliche?) Lücke zu geben:
http://www.securityfocus.com/archive/1/392481
Ich konnte durch anpassen meines Cookies das Ganze nicht nachvollziehen. Im nächsten Update wird es diese Lücke jedenfalls nicht mehr geben: Änderung in CVS (das komplette Array $userdata wird neu aufgebaut)
Wann es das nächste Update gibt weiß ich nicht. Updates werden von phpbb.com herausgegeben, darauf haben wir keinen Einfluss. Auch haben wir nicht mehr Informationen als die, die Ihr selbst dort nachlesen könnt.
Gruß Christian
Verfasst: 19.03.2005 14:10
Hatte das auch nur durch Lesen versucht nachzuvollziehen, da der Thread dort jedoch relativ lang ist, kann es sein, dass ich auch was überlesen hab'.
Werde aber das ganze auch mal am "Lebenden Objekt" austesten, wenn ich nen bissel Zeit finde.
*muh* - ne eiskuh auf schlittschuhen
Werde aber das ganze auch mal am "Lebenden Objekt" austesten, wenn ich nen bissel Zeit finde.
*muh* - ne eiskuh auf schlittschuhen