Sicherheitsleck oder Fake ?
Verfasst: 07.10.2004 08:27
Hallole,
in einem anderen Forum hab ich folgendes gelesen. Kann man das ernst nehmen `?
Zitat:
Dieser Thread dient der allg. Information da meines Wissens Rapid keine phpBB-Foren einsetzt.
- phpBB-Foren Version 2.0.8 bis 2.0.10 sollten nicht verwendet werden da diese den Server scheinbar crashen können
Durch eine Sicherheitslücke scheint es möglich zu sein SQL-Anweisungen in das Forum einzuspeisen, und somit Benutzer am Admin des Forums vorbei anzulegen! (Wahrscheinlich sogar mit Adminrechten ?)
Wie sowas aussieht zeigen folgende Links:
http://www.fansites.de/forum/profile.ph ... ofile&u=29
http://www.handyfever.de/handy/profile. ... file&u=140
http://www.fussball24.de/forum/profilansehen-248.html
http://thpsworld.justgamers.de/forum/pr ... ile&u=3772
http://wintipps.tl-networks.com/profile ... file&u=391
Das ist nur eine Auswahl von X Beispielen wo jemand scheinbar skriptgesteuert in X-Foren User angelegt hat. (Man beachte die angegebene Hompage in jeden der Fälle)
Also bitte Jeder Admin irgendwelcher Foren sollte seine User mal überprüfen ob irgendwo "chopoy.com" als Homepage angegeben ist und diese ggf. sofort löschen.
Ich schreibe das deswegen weil der Spass schon seit über einer Woche zu gehen scheint man aber kaum Infos darüber findet. Also bitte weitersagen
in einem anderen Forum hab ich folgendes gelesen. Kann man das ernst nehmen `?
Zitat:
Dieser Thread dient der allg. Information da meines Wissens Rapid keine phpBB-Foren einsetzt.
- phpBB-Foren Version 2.0.8 bis 2.0.10 sollten nicht verwendet werden da diese den Server scheinbar crashen können
Durch eine Sicherheitslücke scheint es möglich zu sein SQL-Anweisungen in das Forum einzuspeisen, und somit Benutzer am Admin des Forums vorbei anzulegen! (Wahrscheinlich sogar mit Adminrechten ?)
Wie sowas aussieht zeigen folgende Links:
http://www.fansites.de/forum/profile.ph ... ofile&u=29
http://www.handyfever.de/handy/profile. ... file&u=140
http://www.fussball24.de/forum/profilansehen-248.html
http://thpsworld.justgamers.de/forum/pr ... ile&u=3772
http://wintipps.tl-networks.com/profile ... file&u=391
Das ist nur eine Auswahl von X Beispielen wo jemand scheinbar skriptgesteuert in X-Foren User angelegt hat. (Man beachte die angegebene Hompage in jeden der Fälle)
Also bitte Jeder Admin irgendwelcher Foren sollte seine User mal überprüfen ob irgendwo "chopoy.com" als Homepage angegeben ist und diese ggf. sofort löschen.
Ich schreibe das deswegen weil der Spass schon seit über einer Woche zu gehen scheint man aber kaum Infos darüber findet. Also bitte weitersagen
