[Generic/phpBB] phpBB 2.0.17 schließt Sicherheitslücke
(2005-07-20 10:50:18.411005+00)
Quelle:
http://www.phpbb.com/downloads.php
Die Version 2.0.17 der freien Foren-Software phpBB schließt eine Cross-Site-Scripting-Schwachstelle, die es erlaubt, die Cookies eines Benutzers des Forums an ein beliebiges System zu verschicken. Es existiert bereits funktionierender Exploit-Code für den Internet Explorer. Derzeit wird phpBB einem kompletten Security Audit unterzogen, so daß ein weiteres Major-Release in Aussicht steht.
(og)
Weitere Artikel zu diesem Thema:
- [Generic/phpBB] Weitere Schwachstelle im Highlighting-Code von phpBB - Angriffe erfolgen (2005-06-30)
Eine Schwachstelle im Highligting-Code der ForensoftwarephpBB
der Version 2.0.15 ermöglicht Angreifern die Ausführung beliebigen Programmcodes mit den Privilegien des PHP-Interpreters auf dem beherbergenden Rechnersystem.
Das RUS-CERT beobachtet bereits Angriffsversuche. - [Generic/phpBB] Zwei Schwachstellen in phpBB 2.0.12 (2005-03-01)
Eine Schwachstelle in der im Dezember veröffentlichten Version 2.0.12 der Forensoftware phpBB ermöglicht Angreifern die Erlangung von phpBB-Administratorrechten. Eine weitere Schwachstelle im Skriptviewtopic.php
ermöglicht Angreifern, den kompletten Pfad zu ermitteln, unter dem das Skript auf dem beherbergenden Rechnersystem installiert ist. Die phpBB Version 2.0.13 behebt beide Probleme.
(Diese Schwachstellen sind verschieden von den zwei Schwachstellen, die im Dezember 2004 mit der Veröffentlichung der Version 2.0.12 behoben wurden.) - [Generic/phpBB] Santy Wurm nutzt Schwachstelle in phpBB aus [Update] (2004-12-21)
Derzeit breitet sich der Wurm Santy aus, der Webserver infiziert, auf denen eine verwundbare Version der freinen ForensoftwarephpBB
installiert ist. Nach erfolgreicher Infektion nutzt er die Suchmaschine Google, um nach weiteren verwundbaren Systemen zu suchen. Seit 2004-12-22 blockiert Google Anfragen die die Syntax der Anfragen des Wurmes aufweisen.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1263