Seite 1 von 1
[UNIX] Malicious PHP Source Injection in phpBB (install.php)
Verfasst: 20.02.2003 17:21
von TomW
Habe von meinem Provieder eben folgende Mail bekommen
- PHP allow_url_fopen
Aufgrund der steigenden Gefährdung sowohl von Kundenwebs als auch
unserer
Server durch das Einbinden von externem Code (PHP Source Injection) sind
wir
gezwungen die Variable allow_url_fopen in PHP auf 'Off' zu setzen.
Dies verhindert den Zugriff auf URL's mit include() und fopen().
Momentan
ist diese Variable noch nicht auf allen Servern gesetzt, dies wird mit
dem
update auf PHP 4.3.1 durchgängig erfolgen. Dies steht im direkten
Zusammenhang mit einer Erweiterung der Firewall die ab sofort abgehende
Verbindungen vom Server nur noch auf den MySQL Port (3306) zulässt.
Nur ein Beispiel von vielen ist
http://www.der-keiler.de/Mailing-Lists/ ... /0073.html
Wir möchten darauf Hinweisen das dies nur Exploits mit PHP Source
Injection betrifft.
Weitere Exploits für zahlreiche vorgefertigte PHP-Anwendungen benötigen
dies nicht,
es sollte immer die aktuellste Version eingesetzt werden.
Und da hab ich mir mal den Link angeschaut, aber davon verstehe ich garnichts, kann mir mal jemand was dazu sagen???
DANKE
TomW
Verfasst: 20.02.2003 17:30
von zeroK
*g* Deshalb wird ja auch darauf hingewiesen, dass man die install.php nach der Installation löscht, was bei phpBB2.0.4 auch erzwungen wird ^^
Verfasst: 20.02.2003 17:35
von TomW
Also hast das nur was mit der install.php zu tun???
sind
wir
gezwungen die Variable allow_url_fopen in PHP auf 'Off' zu setzen.
Behindert das den Betrieb meines phpbbForums????
TomW
Verfasst: 20.02.2003 17:37
von zeroK
Da bin ich mir nicht sicher. Es könnte zu Problemen beim Avatar-Upload kommen. Ausserdem könnte es auch passieren, dass das ganze Forum nicht mehr funktioniert, wenn die Funktionen include und fopen gesperrt werden.
Verfasst: 20.02.2003 17:44
von Mister_X
der Zugriff auf URLs wird include() und fopen() durch allow_url_fopen auf off gesperrt, phpBB2 greift aber nicht per URLs auf bestimmte Dateien zu sondern durch direkte Pfade
Ohne die install.php zu löschen kann man phpBB2 nicht verwenden also dürfte sich für dich phpBB2 betreffend nichts ändern.
Das einzige Problem was ich mir gerade vorstellen kann sind Avatare die du von anderen Domains direkt ins Avatarverzeichnis von phpBB2 übertragen willst, dass könnte vielleicht nicht funktionieren...
Verfasst: 20.02.2003 17:46
von zeroK
Achso, insoweit geht die Einschränkung. Tnx
Erspart mir nen Blick in meine php.ini ^^
Verfasst: 20.02.2003 18:44
von Jensemann
Mister_X hat geschrieben:
Das einzige Problem was ich mir gerade vorstellen kann sind Avatare die du von anderen Domains direkt ins Avatarverzeichnis von phpBB2 übertragen willst, dass könnte vielleicht nicht funktionieren...
Auch das sollte noch gehen, da phpBB AFAIK (hab nu nich nachgeguckt) über fsockopen() ne verbindung aufbaut. url-fopen betrifft ja nur das öffnen von urls über den fopen wrapper.
Mfg
Jens
Verfasst: 20.02.2003 19:13
von TomW
Danke für die Aufklärung
TomW
Verfasst: 20.02.2003 19:22
von TranceRulez
Verfasst: 20.02.2003 20:12
von Jensemann
Hi
@TranceRulez
Wenn dann wäre nur das avatar kopieren (von einem anderen server kopieren) betroffen, nicht der avatar upload von deinem rechner zum server.
Ich hab nu grad ma den code gecheckt, phpBB verwendet fsockopen, somit sollte noch alles funktionieren wenn der url fopen wrapper abgeschaltet ist.
