phpBB.de

Eine Prüfung ergab, dass bei meiner phpBB-Installation 3.3.10 der Changelog öffentlich einsehbar ist, was Angreifern helfen könnte. Wie kann ich das ändern?

Welche Prüfung? Link zu deinem Forum?

Redest du von der CHANGELOG.html im docs Ordner?

Inwiefern soll das für Angreifer hilfreich sein?
Oder anders gefragt: warum soll sie für dich gefährlich sein?
Das phpBB-Paket kann sich jeder runterladen und somit die Datei auch anschauen.

Du kannst den Ordner oder einfach nur die html-Detai löschen, wenn dich das stört.

Ja,die Datei meine ich. So erkennt ein Angreifer z.B. dass eine Version mit einer Sicherheitslücke noch nicht updatet wurde

Dann mach ein Update und schließe die Lücke, und welche soll das denn genau sein?

maduline hat geschrieben: 22.11.2023 16:07 So erkennt ein Angreifer z.B. dass eine Version mit einer Sicherheitslücke noch nicht updatet wurde

Welche Datei gemeint ist und um was es dir dabei geht, hatte ich schon im Startbeitrag verstanden. Aber das ist nur eine Möglichkeit die Version zu ermitteln, es gibt noch einige Weitere. Und die phpBB Version ist dabei auch nicht das einzige Kriterium, zum Beispiel spielt auch die PHP Version eine Rolle. Auch die kann ermittelt werden, wenn der Hoster seinen Webserver nicht ordentlich konfiguriert hat.

Darum nochmal meine Frage: Von welcher "Prüfung" sprichst du? Wer hat diese Behauptung aufgestellt? Da muss es doch Quellen geben.

Ich wurde von einem Nutzer unseres Forums auf diese "Sicherheitslücke" hingewisen

maduline hat geschrieben: 22.11.2023 19:20 Ich wurde von einem Nutzer unseres Forums auf diese "Sicherheitslücke" hingewisen

Unter einer "Sicherheitslücke" verstehe ich etwas anderes. Die Ermittlung der phpBB Version ist eher eine unerwünschte Herausgabe unnötiger Infos an Dritte. Eine Sicherheitslücke ist für mich ein Softwarefehler der aktiv ausgenutzt werden kann, um entweder unbefugt Zugriff zu bekommen, oder einfach Schaden anzurichten. Das Wissen um die phpBB Version ist noch keine Sicherheitslücke.

Okay, wie gesagt, die phpBB Version ist nur ein Detail wenn es darum geht, einen gezielten Angriff zu starten. Und diese Version kann noch an einigen anderen Stellen problemlos in Erfahrung gebracht werden. Und selbst wenn alle diese Wege aktiv blockiert werden, können versierte Coder mit soliden Kenntnissen der phpBB Strukturen immer die phpBB Version zumindest auf einen kleinen Versionsbereich einschränken.

Es braucht aber schon ein wirklich sehr gutes Knowhow gekoppelt mit krimineller Energie um diese Informationen dann effektiv ausnutzen zu können. Leute diese solche Kenntnisse haben, interessieren sich aber nicht für irgendwelche Foren, die konzentrieren sich eher auf die wirklich interessanten Ziele, wo durch einen "Einbruch" auch finanzieller Gewinn erzielt werden kann.

Was das Problem mit dem CHANGELOG angeht, hat hackepeter13 ja schon die Lösung gepostet.

hackepeter13 hat geschrieben: 22.11.2023 16:01 Du kannst den Ordner oder einfach nur die html-Detai löschen, wenn dich das stört.

Der docs/ Ordner ist für den Betrieb von phpBB irrelevant und kann jederzeit gelöscht werden.

Ich habe diese datei nun gelöscht, die benötige ich auch nicht