phpBB.de

hallo,

ich las bei postnuke etwas über ein krasses sicherheitsloch bzgl des image-tags. da sowohl bei postnuke wie auch den php-foren php und img-tag verwendet wird, frage ich mich nun natürlich, ob hier dasgleiche problem besteht.

ich bin kein programmier-experte, aber vielleicht könnten sich mal seriöse experten hier das ansehen, und falls es so ist, möglichst verständlich raten, was man tun kann/soll ?

http://www.nukeboards.de/index.php?act=ST&f=41&t=21907
http://www.securityfocus.com/archive/1/358326

danke + viele grüße, yks

Das Problem wurde in weiten Teilen mit phpBB 2.0.4 adressiert - in den letzten Versionen sind noch einige Detailverbesserungen dazugekommen, die z.B. seit 2.0.8 ein Bild mit Parametern nicht mehr ermöglichen.
Wenn du nicht gerade selbst weitere Risiken einbaust (z.B. HTML aktivierst, den IP-Check bei den Sessions entschärfst, unsichere Mods einbaust usw.) dürfte phpBB relativ sicher sein - auch wenn es hundertprozentige Sicherheit nie geben wird.

Gruß, Philipp

ich las bei postnuke etwas über ein krasses sicherheitsloch bzgl des image-tags. da sowohl bei postnuke wie auch den php-foren php und img-tag verwendet wird, frage ich mich nun natürlich, ob hier dasgleiche problem besteht.

vielleicht sollte man zum besseren verständnis erst einmal etwas ordnung in die aussage bringen

das von janek vind beschriebene problem bezieht sich auf die ausnutzung einer in phpnuke seit langem bestehenden schwachstelle durch fehlende variablen-überprüfung in der admin.php. ob der angesprochene code dabei über das phpBB, ein gästebuch oder irgendein anderes XSS eingeschleust wird, ist dabei letztendlich egal.

das angesprochene XSS kann recht einfach durch gefakte bilder (also aktive inhalte die via url-rewriting als *.jpg deklariert werden) in jede applikation die bbcode bzw. img-tags erlaubt eingeschleust werden - gefährlich wird es aber nur, wenn das XSS im kontext einer phpnuke-seite aufgerufen wird (und das phpBB ist beispielsweise bestandteil der jüngeren phpnuke distributionen).

wichtig ist, dass phpnuke und nicht das 'transport-medium' das eigentliche sicherheitsproblem und auch das ziel des exploits ist.

möglichst verständlich raten, was man tun kann/soll ?

am besten phpnuke nicht einsetzen und entweder auf eins der sog. VKPs bzw. auf postnuke, mambo oder typo3 wechseln.

larsneo hat geschrieben:wichtig ist, dass phpnuke und nicht das 'transport-medium' das eigentliche sicherheitsproblem und auch das ziel des exploits ist.

Das Problem ist da zum einen ganz einfach unter dem Begiff "Faulheit" zusammenzufassen. Aber die Faulheit, die Variablen nicht sauber zu überprüfen, macht nicht vor anderen Gruppen halt. Während da phpBB selbst sehr sauber vorgeht, so haben da einige Mod-Autoren deutlich mehr geschludert. Seit phpBB 2.0.9 funktioniert jedoch die unüberprüfte Übergabe von Variablen nicht mehr, so dass die betroffenen Mods ausgebessert werden müssen.
Allerdings muss man auch anmerken, dass Bilder in HTML-Seiten immer wieder einen möglichen Angriffspunkt darstellen können. Nur dagegen gibt es erst mal relativ wenige Möglichkeiten (vielleicht kommen die Browser-Programmierer ja mal auf Funktionen wie "Bilder über Domaingrenzen hinweg nicht laden" oder "Referer nicht Domainübergreifend übermitteln"...)

Gruß, Philipp

es sind halt zwei dinge die beim o.a. beispiel zusammenkommen - eine anwendung die für sql-injections empfänglich ist und eine apllikation die XSS ermöglicht.

ersteres ist ein absolutes desaster - applikationen die ungeprüften db-kontakt ermöglichen, sind nicht nur eine gefahr für die betreffende seite sondern für alle dort registrierten benutzer (viele haben ja ein und dasselbe passwort für verschiedene seiten).

die gefahr bei letzeren ist allerdings auch im sog. social engineering zu sehen - man glaubt gar nicht, wieviele benutzer in einem dank advanced xss ungefragt geöffneten popup-fenster einfach einmal ihren account mitsamt passwort 'bestätigen'

<ot>die änderungen in der 2.0.9 sind übrigens wirklich ganz gut gedacht - wobei mir persönlich der db-abstraction-layer auch weiterhin nicht wirklich zusagt...</ot>

habe zwar sicherlich nicht alles 100 % verstanden aber es klang doch beruhigend
*update, ich komme... g