phpBB.de

Hi,

koennen die Cracks hier bitte mal unter milw0rm nachschauen? Ich verstehe den Eintrag von rgod von gestern so das alle 2.0.20 betroffen sind.

Bitte berichtigt mich wenn es nicht so ist...


Danke und Gruss
Underhill

PS: Ich habe erstmal die "admin_db_utilities.php" umbenannt...

EDIT: Titel

Das scheint nen wirklich ausgewachsener Exploit zu sein.
Was den Leuten nicht alles einfällt.

Mal gucken wie man das fixen kann.. denn die Datei umbennen halte ich nicht auf Dauer für eine sichere Aktion.

Hi,

ich habe auch die Cookies umbenannt und werde ggf. erstmal die Avatare abschalten...


Gruss
Underhill

Also hier mal ein Fix, damit kann der Exploit nicht ausgeführt werden:
öffne common.php
suche füge dannach ein: Das dürfte schonmal die Scriptkiddies aufhalten.

Ok,

ich habe es zwar nicht hinbekommen das Script auf einem vanilla phpBB 2.0.20 auszufuehren (dazu fehlt mir wahrscheinlich die erforderliche Kriminalitaet ) aber ich bin mir sicher das es erstmal reichen sollte

1. Den Cookienamen anders als "phpbb2mysql" zu nennen (Der wird von phpBB als STD verwendet)
2. Die "admin/admin_db_utilities.php" erstmal umzubenennen (Darueber wird das "Paket" ausgeliefert)
3. Und ggf. die Avatare erstmal abzuschalten (So kommt man an die SessionID)
4. Die Hotfixes von Fanrpg sollten auch erstmal Ruhe in das Thema bringen

bis die phpBB-Group einen Fix bringt..


Gruss
Underhill

Wo ist denn die Schwachstelle? Verstehe ich es richtig, dass die Session-IDs von jedem Betrachter des präparierten Avatars ausgelesen wird, wenn jemand ein Avatar als Remote eingerichtet hat, das Avatar-Bild also auf einem anderen Server liegt?

Ich habe diese Möglichkeit generell abgeschaltet: Also, meine Mitglieder können nur Avatare von der Festplatte aus auf meinen Webspace hochladen, und dann liegen alle Avatare ja zwangsläufig auf meinem Webspace...

Bin ich jetzt auf der "sicheren" Seite?

Man beachte in der Beschreibung folgendes Nun sagt mir bitte, wie jemand, der nicht gerade denselben PC nimmt, wie ein Admin eines Boards (und somit in der History nachsieht) die SessionID eines Admins erraten soll.

Viele Grüße,
Tekin

TK hat geschrieben:Also, meine Mitglieder können nur Avatare von der Festplatte aus auf meinen Webspace hochladen, und dann liegen alle Avatare ja zwangsläufig auf meinem Webspace...

Genau da liegt das Problem... Boese Leute laden dir da andere Sachen als Bilder hoch..

cYbercOsmOnauT hat geschrieben:Nun sagt mir bitte, wie jemand, der nicht gerade denselben PC nimmt, wie ein Admin eines Boards (und somit in der History nachsieht) die SessionID eines Admins erraten soll.

Ich jetzt nicht Profi in sowas aber auf milw0rm gibt es ein Video wie es geht....

Die laden dir eine Datei als Avatar hoch das in Wirklichkeit ein Cookietracker ist, wenn du als Admin das Bild dann anschaust (PN: Hallo mein Avatar geht nicht) haben die deine akuelle Session...


Gruss
Underhill

Underhill hat geschrieben:Die laden dir eine Datei als Avatar hoch das in Wirklichkeit ein Cookietracker ist, wenn du als Admin das Bild dann anschaust (PN: Hallo mein Avatar geht nicht) haben die deine akuelle Session...

Also in meiner URL steht keine SessionID, ein Cookie kann von einer externen Quelle nicht ausgelesen werden.

Ich schau mir das Exploit mal genauer an und "melde" mich danach wieder.

Tekin

Hi,

wie gesagt - Ich bin nicht der Crack in diesen Dingen - aber schau dir doch mal das z.B. Video "(WBB Portal) Cross-Site Scripting Using Unsanitized jpg File" unter milw0rm an... dann wird dir sicher auch ganz anders

Gruss
Underhill