phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

XSS over MIME Sniffing bei phpBB nicht möglich

https://www.phpbb.de/community/viewtopic.php?t=191703

Seite 1 von 1

XSS over MIME Sniffing bei phpBB nicht möglich

Verfasst: 03.06.2009 15:06
von cYbercOsmOnauT
Jacques Copeau hat bekannte Forensysteme auf Anfälligkeit für MIME/Content-Type-Sniffing überprüft. Wie der Titel schon sagt, sind die phpBB Versionen 2.0.23 und 3.0.4 (wohl somit auch 3.0.5) für solche Attacken nicht anfällig.
phpBB2 was found not to be vulnerable, as it does only allows files of the types
png, gif and jpeg. For all these filestypes, the software sends correct headers.

phpBB3 has a far more flexible upload system, but uses both comprehensive
blacklisting and upload validation to guard against issues. We were not able to
exploit IE mime sniffing within phpBB3.
Die komplette Meldung könnt ihr auf der Quelle (Securityfocus) nachlesen.

Grüße,
Tekin

Re: XSS over MIME Sniffing bei phpBB nicht möglich

Verfasst: 03.06.2009 16:22
von gn#36
Sehr interessant, allerdings überrascht mich nicht, dass OSS schneller reagiert als die komerziellen Anbieter.

Re: XSS over MIME Sniffing bei phpBB nicht möglich

Verfasst: 03.06.2009 16:40
von nickvergessen
Siehe dazu auch http://www.heise.de/security/Risiko-dur ... kel/122187 und http://www.phpbb.com/blog/2008/10/25/at ... /#more-170 vom phpBB-Entwickler Kellanved
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de