phpBB.de

http://www.pcwelt.de/news/sicherheit/105985/index.html

Ist das "Panikmache" oder ist da etwas dran? und wie wirkt sich das in der Praxis auf mein Forum aus? Kann ich auch ohne Root-Zugriff auf den Server das beheben? Wo muss ich da etwas ändern?

Danke für die Info!

Ja, ist was dran, aber dafür gibts hier schon ein Thema
http://www.phpbb.de/viewtopic.php?t=72954

und wie wirkt sich das in der Praxis auf mein Forum aus?

eigentlich dürfte sich das garnicht auswirken .. da die sicherheitspatches die es dazu gibt phpbb nicht einschränken ( mein hoster hat die patches schon oben .. ohne auswirkungen )

OK, habe mich da mal eingelesen. Sehe ich das richtig, daß ich das nicht selbst beheben kann, sondern daß der Provider eine neue Version aufspielen muss (was dieser sicher nicht unentgeltich machen wird)?
... oder kann ich auch durch Codeänderungen im phpBB-Code dem entgegenwirken?

P.S.: habe keinen Vollzugriff, kann daher keine neue Version von PHP installieren (habe 4.2.2. derzeit)

Ich glaube nichteinmal, dass dieser Bug sich auf phpBB2 auswirkt.
Aber eigentlich sollte jeder verantwortungsvolle Hoster die PHP-Version updaten, da dadurch schließlich ein großes bekanntes Sicherheitsloch geschlossen werden kann - und ein solches Update ist eigentlich kein großer Aufwand.

Also selbst tun kannst du wirklich nichts, außer deinen Hoster anschreiben, doch bitte dieses Update zu machen.

Gumfuzi hat geschrieben:OK, habe mich da mal eingelesen. Sehe ich das richtig, daß ich das nicht selbst beheben kann, sondern daß der Provider eine neue Version aufspielen muss (was dieser sicher nicht unentgeltich machen wird)?
... oder kann ich auch durch Codeänderungen im phpBB-Code dem entgegenwirken?

P.S.: habe keinen Vollzugriff, kann daher keine neue Version von PHP installieren (habe 4.2.2. derzeit)

das siehst du (fast) richtig.. allerdings braucht der provider nur die sicherheitspatches zuinstallieren

du kannst dieser sicherheitslücke nicht entgegenwirken .. da der meiste teil nichts mit phpbb zutun hast

und .. die hoster werden sich hüten dafür geld zuverlangen ..also keine sorgen

OK, ich schreibe den mal an, danke für die Infos!!!

Sauber lösen kann dieses Problem tatsächlich nur der Hoster, indem er eine korrigierte Version von PHP installiert.

Und auch wenn es natürlich kein Problem von phpBB ist, kann man etwas machen, um den Fehler wenigstens etwas einzudämmen. Ich habe mich gestern früh fast über meine Tastatur erbrochen, als es mir auf Anhieb und dann wiederholt gelang, mittels dieses Exploits unsere DB-Zugangsdaten auszulesen.

Bis der Hoster unser PHP-Modul aktualisiert hat, habe ich mir damit beholfen, die Zugangsdaten so rasch wie möglich zu überschreiben. Die Daten werden ja nur einmalig benötigt und danach im Verlauf der Seitengenerierung nie wieder.

Folgendes habe ich gemacht:
Danach ist es mir nicht wieder gelungen, die Zugangsdaten auszuspähen. Diese Lösung ist alles andere als perfekt und mindert die Notwendigkeit, PHP zu aktualisieren nicht um das Geringste. Aber als 'quick and dirty'-Hack [ich möchte sowas nicht 'Mod' nennen] tat es bei uns seinen Zweck.


Grüße,
Gérome

Danke, werde ich testen!!!!!!

Edit:
funzt super!

(auch wenn ich es nicht prüfen kann, was nun ausgelesen werden kann )

Hi,

ich hab mal all-inkl.com wegen einem Update auf 4.3.10 gefragt. Damit jetzt nicht alle all-inkl-Kunden auch fragen müssen hier die Antwort:

ein Update auf php 4.3.10 ist vorerst nicht geplant allerdings wurde der Server so konfiguriert das diese Sicherheitslücken nicht mehr nutzbar sind

Greetz