Diskussion zu "phpBB nicht von Sicherheitslücke in ImageMagi

Beitrag von **Crizzo** » 05.05.2016 21:35

Hier könnt ihr über die Bekanntmachung phpBB nicht von Sicherheitslücke in ImageMagick betroffen! diskutieren:

BlackHawk87 hat geschrieben:Aktuell existiert in der ImageMagick-Bibliothek eine Sicherheitslücke, mit der durch das Hochladen von präparierten Bildern Schad-Code auf dem Server ausgeführt werden können.

phpBB benutzt ImageMagick um Thumbnails (Vorschaubilder) zu erstellen, alle anderen Funktionen in phpBB (z.B. bei den Dateianhängen) nutzen ImageMagick nicht. phpBB ist nach aktuellem Stand nicht von dieser Sicherheitslücke betroffen.

Die Sicherheitslücke beruht darauf, dass Dateien direkt zur ImageMagick-Bibliothek oder Textgrafiken (wie SVG- oder MVG) direkt zu ImageMagick "durchgereicht" werden. Da phpBB keine Vorschaubilder zu SVG oder MVG erstellt und gleichzeitig alle hochgeladenen Bilddateien prüft, entsteht hier keine Sicherheitslücke in phpBB durch die Verwendung von ImageMagick.

Quelle: Blog-Beitrag auf phpBB.com: https://blog.phpbb.com/2016/05/05/phpbb ... k-exploit/ (Englisch)

Infos zur Lücke:
http://www.heise.de/security/meldung/We ... 96901.html
http://arstechnica.com/security/2016/05 ... n-attacks/ (Englisch)

Beitrag von **canonknipser** » 05.05.2016 22:52

phpbb selber nicht, aber wie sieht es mit den Gallery-Erweiterungen (ich denke da an die NV-Galerie und / oder deren Nachfolger) aus? In der NV-Gallery unter 3.0 wurde ja eine eigene Bildverwaltung mit resize etc. implementiert- ich weiß nicht, wie es in der aktuellen EXT aussieht

phpBB.de

Diskussion zu "phpBB nicht von Sicherheitslücke in ImageMagi

Diskussion zu "phpBB nicht von Sicherheitslücke in ImageMagi

Re: Diskussion zu "phpBB nicht von Sicherheitslücke in Image