Menü
Alert!

Erneut kritische Lücke in phpBB

Von
vorlesen Drucken Kommentare lesen 230 Beiträge

Betreiber der populären Forensoftware phpBB kommen nicht zur Ruhe. Kaum ist die kürzlich veröffentlichte Version 2.0.12 installiert -- in der zwei Sicherheitslöcher geschlossen sind -- steht 2.0.13 ins Haus. Auch dort hat man zwei Lücken beseitigt. Über eine davon können Angreifer an Administratorrechte gelangen und so etwa die Kontrolle über die Foren übernehmen. Die Entwickler empfehlen dringend das Update auf die fehlerbereinigte Version.

Wer nicht gewillt ist, eine komplett neue Version zu installieren, kann den kritischen Fehler im Modul includes/sessions.php auch selbst beseitigen. Die Zeile

if( $sessiondata['autologinid'] == $auto_login_key ) 

ist durch

if( $sessiondata['autologinid'] === $auto_login_key ) 

zu ersetzen.

Die zweite, weniger kritische Schwachstelle erfordert etwas mehr Änderungen. Nähere Angaben sind deshalb dem Original-Advisory zu entnehmen.

Siehe dazu auch: (dab)

Anzeige
Anzeige