Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1254

[Generic/phpBB] Weitere Schwachstelle im Highlighting-Code von phpBB - Angriffe erfolgen
(2005-06-30 08:11:23.011741+00)

Quelle: http://seclists.org/lists/fulldisclosure/2005/Jun/0358.html

Eine Schwachstelle im Highligting-Code der Forensoftware phpBB der Version 2.0.15 ermöglicht Angreifern die Ausführung beliebigen Programmcodes mit den Privilegien des PHP-Interpreters auf dem beherbergenden Rechnersystem.
Das RUS-CERT beobachtet bereits Angriffsversuche.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
Spezielle Anfrage an den beherbergenden Webserver.

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des PHP-Interpreters, bzw. des Webservers auf dem beherbergenden Rechnersystem über eine Netzwerkverbindung (remote user compromise)

Typ der Verwundbarkeit
implementation flaw

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Ein Programmierfehler in viewtopic.php, das vom Code zur Hervorhebung von Text ("Highlighting") verwendet wird, führt dazu, daß Daten nicht intendiert als PHP-Code interpretiert werden. Dies kann von einem Angreifer dazu ausgenutzt werden, beliebigen PHP-Code durch die fehlerhafte Software mit den Privilegien des PHP-Interpreters auf dem beherbergenden Rechnersystem ausführen zu lassen.

Das RUS-CERT beobachtet bereits aktive Versuche, diese Schwachstelle auszunutzen.

Gegenmaßnahmen

Exploit Status

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1254