phpBB-Module reißen Sicherheitslöcher auf

Zusatzmodule von Drittanbietern für phpBB sind für Schwachstellen verantwortlich, über die Angreifer beliebige PHP-Dateien auf dem Forenserver ausführen können.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 161 Beiträge
Von
  • Dirk Martin Knop

Für die beliebte Forensoftware phpBB entwickeln Enthusiasten Erweiterungen in Form von Modulen. Diese können jedoch auch für Schwachstellen verantwortlich zeichnen, über die Angreifer beliebige PHP-Dateien auf dem Forenserver ausführen können.

Ein Hacker mit dem Namen [Oo] hat in den zwei Zusatzmodulen TopList sowie Advanced Guestbook Lücken ausfindig gemacht, über die Angreifer durch Setzen des Parameters phpbb_root_path beliebige PHP-Dateien auch von anderen Servern einbinden können. Dazu muss jedoch die Option register_globals aktiviert sein.

[Oo] hat zu den Lücken Exploits programmiert, die die Ausnutzbarkeit der Schwachstellen demonstrieren. Betroffen sind TopList-Versionen bis einschließlich 1.3.8, das Advanced Guestbook erlaubt das Unterschieben von PHP-Skripten bis einschließlich Version 2.4.0.

Umgehungsmaßnahmen oder Updates gibt es bis jetzt nicht. Da jedoch register_globals zum Funktionieren der Exploits aktiviert sein muss, sollte das Deaktivieren dem Problem abhelfen.

Siehe dazu auch: (dmk)