Seite 1 von 1
Sicherheitslücke in phpBB 2.0.8a
Verfasst: 08.05.2004 17:33
von Fabian
http://www.tecchannel.de/sicherheit/reports/2698.html hat geschrieben:Über eine Schwachstelle in phpBB können Benutzer bestimmte administrative User-Management-Features umgehen.
Die Sicherheitslücke beruht auf einem Fehler bei der Überprüfung von Eingaben während der Verarbeitung von externen IP-Adressen. Dies kann der Angreifer ausnutzen, indem er im Header "HTTP_X_FORWARDED_FOR" eine gefälschte IP-Adresse angibt und so den Administrator daran hindert, den betreffenden Benutzer zu tracken oder auszusperren.
Nicht betroffen ist der Webserver selbst, der weiterhin die richtige IP-Adresse protokolliert.
Die Schwachstelle ist bestätigt für Version 2.0.8a und niedriger.
Stimmt das?
Re: Sicherheitslücke in phpBB 2.0.8a
Verfasst: 08.05.2004 17:34
von DaniM
Fabian hat geschrieben:http://www.tecchannel.de/sicherheit/reports/2698.html hat geschrieben:Über eine Schwachstelle in phpBB können Benutzer bestimmte administrative User-Management-Features umgehen.
Die Sicherheitslücke beruht auf einem Fehler bei der Überprüfung von Eingaben während der Verarbeitung von externen IP-Adressen. Dies kann der Angreifer ausnutzen, indem er im Header "HTTP_X_FORWARDED_FOR" eine gefälschte IP-Adresse angibt und so den Administrator daran hindert, den betreffenden Benutzer zu tracken oder auszusperren.
Nicht betroffen ist der Webserver selbst, der weiterhin die richtige IP-Adresse protokolliert.
Die Schwachstelle ist bestätigt für Version 2.0.8a und niedriger.
Stimmt das?
Ja das stimmt und ist glaube ich im News Forum.
Um das Sicherheitsloch zu schließen solltest du HTML auf "Nicht erlauben" stellen, dann kann nichts passieren.
EDIT: SORRY, falsches Sicherheitsproblem, hab mal wieder nicht gescheit gelesen
Grüße,
Dani
Verfasst: 08.05.2004 17:36
von Schumi
Ja, das stimmt. Paul hat diese Lücke bereits am 22.04 im CVS gefixed. Allerdings gab es deswegen noch kein neues Release.
Verfasst: 08.05.2004 17:37
von DaniM
Besteht die Sicherheitslücke also immer noch im aktuellen Release?
Grüße,
Dani
Verfasst: 08.05.2004 18:14
von Dennis63
Wer lesen kann ist klar im Vorteil. Lies mal, was Schumi geschrieben hat...
Grüße
Dennis
Verfasst: 08.05.2004 18:17
von itst
Verfasst: 08.05.2004 18:29
von Fabian
Was könnte ein User machen, wenn die Sicherheitslücke nicht geschlossen ist?
Verfasst: 08.05.2004 19:10
von itst
Er könnte über den HTTP-Header seine IP fälschen, was dazu führen würde, das statt seiner richtigen IP diese falsche IP als Session-IP benutzt wird.
Auswirkungen:
Bei jedem Post wird die IP des Posters gespeichert. In diesem Fall eben seine falsche.
phpBB erlaubt es dem Administrator, IPs zu sperren. Ist die IP eines Benutzers gesperrt, kann er so dennoch das Forum nutzen.
Bewertung:
Da das Forum bei jedem Post die IP speichert, könnte ein Benutzer das Forum täuschen und immer von einer anderen (falschen) IP posten. Was ihm das bringt: nichts.
Die Aushebelung der IP-Sperre ist da schon etwas kritischer zu sehen. Aber nur etwas: 90% der Benutzer eines Webforums haben dynamische IPs, also ist eine IP-Sperre sowieso Augenwischerei. Hat aber jemand tatsächlich eine statische IP, und hat dieseer Nutzer böse Absichten, kann er eine eventuell gegen seine IP aktive Sperre umgehen. Da phpBB aber auch andere Sperren kennt (Benutzername, E-Mail-Adresse) und auch einzelne Accounts deaktivieren kann (Wirkung ähnlich wie eine Sperre), bringt das Umgehen der IP-Sperre wenig bis nichts.
Andere Auswirkungen (Übernahme von Sessions, Erlangung von Admin- oder Mod-Rechten) hat dieses Problem nicht.