http://www.pcwelt.de/news/sicherheit/105985/index.html
Ist das "Panikmache" oder ist da etwas dran? und wie wirkt sich das in der Praxis auf mein Forum aus? Kann ich auch ohne Root-Zugriff auf den Server das beheben? Wo muss ich da etwas ändern?
Danke für die Info!
neue Lücken in PHP?
-
Gumfuzi
- Ehemaliges Teammitglied
- Beiträge: 2454
- Registriert: 26.03.2004 22:25
- Wohnort: Linz, AT
- Kontaktdaten:
neue Lücken in PHP?
Du kannst niemals alle mit deinem Tun begeistern. Selbst wenn du über's Wasser laufen kannst, kommt einer daher und fragt, ob du zu blöd zum Schwimmen bist.
https://www.deskmodder.de
https://www.deskmodder.de
-
mr.no-name
- Mitglied
- Beiträge: 1883
- Registriert: 20.10.2003 12:07
- Wohnort: Hannover
-
marino
-
Gumfuzi
- Ehemaliges Teammitglied
- Beiträge: 2454
- Registriert: 26.03.2004 22:25
- Wohnort: Linz, AT
- Kontaktdaten:
OK, habe mich da mal eingelesen. Sehe ich das richtig, daß ich das nicht selbst beheben kann, sondern daß der Provider eine neue Version aufspielen muss (was dieser sicher nicht unentgeltich machen wird)?
... oder kann ich auch durch Codeänderungen im phpBB-Code dem entgegenwirken?
P.S.: habe keinen Vollzugriff, kann daher keine neue Version von PHP installieren (habe 4.2.2. derzeit)
... oder kann ich auch durch Codeänderungen im phpBB-Code dem entgegenwirken?
P.S.: habe keinen Vollzugriff, kann daher keine neue Version von PHP installieren (habe 4.2.2. derzeit)
Du kannst niemals alle mit deinem Tun begeistern. Selbst wenn du über's Wasser laufen kannst, kommt einer daher und fragt, ob du zu blöd zum Schwimmen bist.
https://www.deskmodder.de
https://www.deskmodder.de
-
mr.no-name
- Mitglied
- Beiträge: 1883
- Registriert: 20.10.2003 12:07
- Wohnort: Hannover
Ich glaube nichteinmal, dass dieser Bug sich auf phpBB2 auswirkt.
Aber eigentlich sollte jeder verantwortungsvolle Hoster die PHP-Version updaten, da dadurch schließlich ein großes bekanntes Sicherheitsloch geschlossen werden kann - und ein solches Update ist eigentlich kein großer Aufwand.
Also selbst tun kannst du wirklich nichts, außer deinen Hoster anschreiben, doch bitte dieses Update zu machen.
Aber eigentlich sollte jeder verantwortungsvolle Hoster die PHP-Version updaten, da dadurch schließlich ein großes bekanntes Sicherheitsloch geschlossen werden kann - und ein solches Update ist eigentlich kein großer Aufwand.
Also selbst tun kannst du wirklich nichts, außer deinen Hoster anschreiben, doch bitte dieses Update zu machen.
-
marino
Gumfuzi hat geschrieben:OK, habe mich da mal eingelesen. Sehe ich das richtig, daß ich das nicht selbst beheben kann, sondern daß der Provider eine neue Version aufspielen muss (was dieser sicher nicht unentgeltich machen wird)?
... oder kann ich auch durch Codeänderungen im phpBB-Code dem entgegenwirken?
P.S.: habe keinen Vollzugriff, kann daher keine neue Version von PHP installieren (habe 4.2.2. derzeit)
das siehst du (fast) richtig.. allerdings braucht der provider nur die sicherheitspatches zuinstallieren
du kannst dieser sicherheitslücke nicht entgegenwirken .. da der meiste teil nichts mit phpbb zutun hast
und .. die hoster werden sich hüten dafür geld zuverlangen ..also keine sorgen
-
Gumfuzi
- Ehemaliges Teammitglied
- Beiträge: 2454
- Registriert: 26.03.2004 22:25
- Wohnort: Linz, AT
- Kontaktdaten:
OK, ich schreibe den mal an, danke für die Infos!!!
Du kannst niemals alle mit deinem Tun begeistern. Selbst wenn du über's Wasser laufen kannst, kommt einer daher und fragt, ob du zu blöd zum Schwimmen bist.
https://www.deskmodder.de
https://www.deskmodder.de
Sauber lösen kann dieses Problem tatsächlich nur der Hoster, indem er eine korrigierte Version von PHP installiert.
Und auch wenn es natürlich kein Problem von phpBB ist, kann man etwas machen, um den Fehler wenigstens etwas einzudämmen. Ich habe mich gestern früh fast über meine Tastatur erbrochen, als es mir auf Anhieb und dann wiederholt gelang, mittels dieses Exploits unsere DB-Zugangsdaten auszulesen.
Bis der Hoster unser PHP-Modul aktualisiert hat, habe ich mir damit beholfen, die Zugangsdaten so rasch wie möglich zu überschreiben. Die Daten werden ja nur einmalig benötigt und danach im Verlauf der Seitengenerierung nie wieder.
Folgendes habe ich gemacht:
Danach ist es mir nicht wieder gelungen, die Zugangsdaten auszuspähen. Diese Lösung ist alles andere als perfekt und mindert die Notwendigkeit, PHP zu aktualisieren nicht um das Geringste. Aber als 'quick and dirty'-Hack [ich möchte sowas nicht 'Mod' nennen] tat es bei uns seinen Zweck.
Grüße,
Gérome
Und auch wenn es natürlich kein Problem von phpBB ist, kann man etwas machen, um den Fehler wenigstens etwas einzudämmen. Ich habe mich gestern früh fast über meine Tastatur erbrochen, als es mir auf Anhieb und dann wiederholt gelang, mittels dieses Exploits unsere DB-Zugangsdaten auszulesen.
Bis der Hoster unser PHP-Modul aktualisiert hat, habe ich mir damit beholfen, die Zugangsdaten so rasch wie möglich zu überschreiben. Die Daten werden ja nur einmalig benötigt und danach im Verlauf der Seitengenerierung nie wieder.
Folgendes habe ich gemacht:
Code: Alles auswählen
--- ÖFFNE ---
./includes/db.php
-- FINDE ---
// Make the database connection.
$db = new sql_db($dbhost, $dbuser, $dbpasswd, $dbname, false);
--- SETZTE DANACH EIN: ---
$dbhost = 'aaaaaaaaaaaaaaaaaaaaaaaaa';
$dbuser = 'aaaaaaaaaaaaaaaaaaaaaaaaa';
$dbpasswd = 'aaaaaaaaaaaaaaaaaaaaaaaaa';
$dbhost = 'aaaaaaaaaaaaaaaaaaaaaaaaaaaa';Grüße,
Gérome
-
Gumfuzi
- Ehemaliges Teammitglied
- Beiträge: 2454
- Registriert: 26.03.2004 22:25
- Wohnort: Linz, AT
- Kontaktdaten:
Danke, werde ich testen!!!!!!
Edit:
funzt super!
(auch wenn ich es nicht prüfen kann, was nun ausgelesen werden kann )
Edit:
funzt super!
(auch wenn ich es nicht prüfen kann, was nun ausgelesen werden kann
)Du kannst niemals alle mit deinem Tun begeistern. Selbst wenn du über's Wasser laufen kannst, kommt einer daher und fragt, ob du zu blöd zum Schwimmen bist.
https://www.deskmodder.de
https://www.deskmodder.de
