Thema: Erneut kritische Lücke in phpBB

[SiLæncer]

Betreiber der populären Forensoftware phpBB kommen nicht zur Ruhe. Kaum ist die kürzlich veröffentlichte Version 2.0.12 installiert -- in der zwei Sicherheitslöcher geschlossen sind -- steht 2.0.13 ins Haus. Auch dort hat man zwei Lücken beseitigt. Über eine davon können Angreifer an Administratorrechte gelangen und so etwa die Kontrolle über die Foren übernehmen. Die Entwickler empfehlen dringend das Update auf die fehlerbereinigte Version.

Wer nicht gewillt ist, eine komplett neue Version zu installieren, kann den kritischen Fehler im Modul includes/sessions.php auch selbst beseitigen. Die Zeile :

if( $sessiondata['autologinid'] == $auto_login_key )

ist durch

if( $sessiondata['autologinid'] === $auto_login_key )

zu ersetzen.

Die zweite, weniger kritische Schwachstelle erfordert etwas mehr Änderungen. Nähere Angaben sind deshalb dem Original-Advisory zu entnehmen.

Quelle und Links : http://www.heise.de/newsticker/meldung/56866

[SiLæncer]

Anwender der populären Foren-Software "phpBB" sollten auf die neueste Version 2.0.15 wechseln, in der nach Angaben der Entwickler neben kleineren Schwachstellen auch eine kritische Sicherheitslücke behoben ist. Worauf das Problem genau beruht und ob ein Angreifer damit den Server kompromittieren kann, ist im Advisory nicht beschrieben. Der Patch zum Stopfen besteht aber nur aus zwei zusätzlichen Zeilen, die ein Zeichen in einer Zeichenkette ersetzen. Die Entwickler empfehlen dringend, den "summer needs to be hot" getauften Release zu installieren, da dort nun auch die bislang nur in "phpBB Olympus" implementierte Admin-Re-authentication-Funktion Eingang gefunden hat.

Quelle und Links : http://www.heise.de/newsticker/meldung/59378

[SiLæncer]

Die Entwickler der populären Forensoftware phpBB haben das Update 2.0.16 zur Verfügung gestellt, in der nach eigenen Angaben eine kritische Sicherheitslücke geschlossen ist. Worum es sich genau handelt und wie Angreifer sie ausnutzen können, ist in der Ankündigung nicht beschrieben. Offenbar steckt das Problem wieder einmal im Highlighting-Code von phpBB. Über eine ältere Schwachstelle in diesem Code befiel Ende 2004 der Wurm Santy zahlreiche Foren.

Die Entwickler empfehlen dringend, das Update zu installieren. Neben der Sicherheitslücke sind auch einige weitere, aber nicht sicherheitsrelevante Fehler beseitigt. Wer nicht die komplette neue Version installieren kann oder möchte, kann die Lücke auch einfach durch Änderung einer Zeile in der Software beheben. Ein genaue Anleitung dazu ist in der Ankündigung zu finden.

Quelle und Links : http://www.heise.de/newsticker/meldung/61123

[SiLæncer]

Nachdem für die kürzlich gefundenen Schwachstellen in phpBB ein Exploit veröffentlicht wurde, meldet das Internet Storm Center gezielte Angriffe auf Foren, die diese Software einsetzen. Versionen vor phpBB 2.0.16 erlauben es, Befehle einzuschleusen, die der Server mit den Rechten des Web-Servers ausführt.

Der Fehler steckt erneut in dem Skript viewtopic.php script, das den Parameter highlight nicht ausreichend überprüft. Ein ähnliches Problem nutzte bereits der Santy-Wurm, um Ende 2004 automatisiert Foren-Server zu befallen. Administratoren sollten schleunigst auf die neue Version 2.0.16 umstellen oder zumindest die bereitgestellten Patches einspielen.

Auch für die kürzlich entdeckte Schwachstelle in den XML-RPC-Bibliotheken sind Exploits in Umlauf. Gefährdet sind unter anderem PHP-Programme wie PostNuke, TikiWiki und Drupal.

Quelle und Links : http://www.heise.de/newsticker/meldung/61352

[SiLæncer]

Wiederholte Sicherheitsprobleme machen der Board-Software zu schaffen

Einige Web-Hoster verbannen die populäre, freie Board-Software phpBB wegen wiederholter Sicherheitsprobleme, berichtet Netcraft. Sicherheitslöcher in der weit verbreiteten Software hatten wiederholt Angriffe nach sich gezogen. Im Dezember hatte der Wurm Santy diverse Webseiten verunstaltet.

Die Entwickler von phpBB weisen entsprechende Vorwürfe zurück, hier werden FUD (Fear, Uncertainty and Doubt) gestreut, heißt es in einer Stellungnahme auf phpBB.com. Man habe sich entsprechender Probleme immer schnell angenommen und diese beseitigt. Zudem seien oft Sicherheitslücken in anderen Applikationen wie AWStats schuld, wenn es zu Einbrüchen in Server komme.

Beim Hoster HostPC sieht man dies anders und warnt die eigenen Kunden vor dem Einsatz der Software.

Quelle und Línks : http://www.golem.de/0507/39143.html

[SiLæncer]

Das Forensystem punBB schließt mit der Veröffentlichung der Version 1.2.6 zwei kritische Sicherheitslücken, die der Sicherheitsspezialist Stefan Esser entdeckt hat. Die freie, unter der GPL stehende Software versteht sich als schnelle, leichtgewichtige Alternative zum grafiklastigen, überladenen phpBB.

Die erste Sicherheitslücke betrifft das Modul zum Editieren der Benutzer-Profile. Eine uninitialisierte Variable ermöglicht das Einschleusen von beliebigen SQL-Befehlen. Ein Forum-Nutzer kann sich auf diesem Wege in die Administratorgruppe eintragen. Administratoren sind dazu berechtigt, weiteren PHP-Code in die Templates einzufügen.

Eben dieses Template-System von punBB ist von einer weiteren Schwachstelle betroffen. In der Funkton <pun_include "filename"> werden die Argumente erst überprüft, nachdem die Seite zusammengestellt wurde. Dies ermöglicht über mögliche Cross-Site-Scripting-Lücken das Einschleusen beliebigen PHP-Codes.

Die Lücken wurden mit der inzwischen verfügbaren Version 1.2.6 geschlossen, die umgehend von punBB-Administratoren eingespielt werden sollte.

Quelle und Links : http://www.heise.de/security/news/meldung/61575

[SiLæncer]

Die Diskussionsforen-Software phpBB ist für eine weitere Cross-Site-Scripting-Attacke anfällig. Betroffen sind die Versionen bis einschließlich der aktuellen 2.0.16. Es ist bereits ein Exploit aufgetaucht, der dieses Leck nutzt. Der veröffentlichte Exploit schickt die Cookies eines Forum-Nutzers an einen beliebigen Server, sofern dieser mit dem Internet Explorer einen Beitrag aufruft, der den schadhaften Code enthält. Es ist gut möglich, dass auch schon Code existiert, der im Zusammenspiel mit anderen Webbrowsern funktioniert. Mit diesem Schadcode lassen sich gegebenenfalls die Zugangsdaten von Forumsteilnehmern ergaunern.

Die phpBB-Entwickler arbeiten derzeit an einem Patch gegen die Lücke. Meik Sievertsen, der unter dem Pseudonym "acyd burn" die Entwicklung der Forensoftware leitet, bestätigte heise Security auf Anfrage die Lücke sowie die Funktionsfähigkeit des Exploits und ergänzt: "phpBB 2.0.17 steht vor der Tür und befindet sich im finalen Teststadium. Der Zeitdruck ist natürlich immens, da der Urheber den Exploit gepostet hat, ohne uns vorher zu informieren."

Einen Workaround für das Problem gibt es derzeit nicht. Bei Verfügbarkeit der neuen Version sollten betroffene Administratoren zum Schutze ihrer eigenen Sicherheit und der ihrer Forenmitglieder umgehend das Update einspielen.

Quelle und Links : http://www.heise.de/newsticker/meldung/61794

[SiLæncer]

Update:

Auf der Seite www.phpbb2.de ist ein inoffizieller Patch verfügbar. Betroffene Administratoren sollten den Anweisungen auf der Seite folgen und eine Sicherungskopie der zu ersetzenden Datei anlegen.

Quelle : www.heise.de

[SiLæncer]

Mit der heute erschienenen Version 2.0.17 der Diskussionsforen-Software phpBB schließen die Entwickler vor allem die vor kurzem bekannt gewordene Cross-Site-Scripting-Lücke. In den Release-Notes erklären die Entwickler, dass phpBB derzeit einem ausführlichen Security Audit unterzogen wird, um die Sicherheit der Software zu verbessern. Hierzu habe man ein Team zusammengestellt, dem unter anderem Programmierer von populären Erweiterungen für phpBB angehören, die tiefergehendes Verständnis der Codebasis besitzen.

Auf der Download-Seite des Projektes stehen die aktualisierten Pakete zur Verfügung. Administratoren, die phpBB einsetzen, wird zu einem zügigen Update geraten. Neben der Cross-Site-Scripting-Lücke hat das Entwicklerteam weitere Fehler in der Forensoftware mit der neuen Version 2.0.17 ausgebügelt.

Da die Security Audits noch andauern, ist in nächster Zeit mit kürzeren Update-Zyklen zu rechnen. Dem Forum auf der phpBB-Website ist zu entnehmen, dass sich möglicherweise noch weitere Fehler in der Software befinden. Gegebenenfalls sollte laut den dortigen Postings das BBCODE-System deaktiviert werden, bis die Fehler -- vor allem in der Highlighting-Funkton -- endgültig beseitigt wurden.

Quelle und Links : http://www.heise.de/newsticker/meldung/61871

[SiLæncer]

Die Entwickler der beliebten Forensoftware phpBB haben die neue Version 2.0.18 (The Halloween Special Release) zum Download bereit gestellt. Neben zahlreichen Bugs hat man auch diverse Sicherheitslücken gestopft, die die Programmierer bei einem Code-Audit entdeckt haben. Zudem sind auch Schwachstellen beseitigt, die externe Sicherheitsspezialisten entdeckt hatten. Unter anderem soll es damit möglich sein, eigene Befehle an die Datenbank zu übergeben, beliebigen PHP-Code auszuführen und HTML-Code für Cross-Site-Scripting-Attacken einzuschleusen.

In ihrer Ankündigung zur neuen Version weisen die Entwickler explizit darauf hin, dass für ein Update die Installation neuer Dateien nicht ausreiche. Zusätzlich ist noch die Aktualisierung der Datenbank erforderlich. Dies soll das im Installationspaket enthaltende Datenbank-Update-Skript erledigen.

Siehe dazu auch:

    * phpBB 2.0.18 released von phpBB.org
    * phpBB Multiple Vulnerabilities Advisory von Hardened-PHP Project


Quelle und Links : http://www.heise.de/security/news/meldung/65568

[SiLæncer]

Pünktlich zur Weihnachtszeit wurde ein Exploit zu Schwachstellen in der Foren-Software phpBB veröffentlicht. Mit ihm lassen sich auf Systemen, auf denen phpBB in einer Version bis einschließlich 2.0.17 läuft, beliebige Befehle ausführen. Bereits vergangenes Jahr um diese Zeit nutzte der Wurm Santy ähnliche Schwachstellen, um massenweise Web-Server zu entstellen. Ob die in den letzten Tagen bei heise Security vermehrt eingegangenen Berichte über Befälle mit einem Lupper-Wurm bereits mit diesem Exploit in Zusammenhang stehen, ist bisher nicht klar.

Der Exploit sendet POST-Anfragen für profile.php?GLOBALS[...], die sich in den Log-Dateien des Web-Servers finden lassen sollten. Über sie versucht er einen neuen User r57phpBB2017xplXXXX anzulegen und dabei den auszuführenden Code einzuschleusen. Der Exploit funktioniert nur mit PHP bis einschließlich Version 5.0.5 wenn register_globals aktiv ist.

Die Lücken in phpBB wurden Ende Oktober durch das "Halloween Special Release", also Version 2.0.18 beseitigt. Betreiber von PHP-Foren insbesondere mit phpBB sollten unbedingt überprüfen, ob bereits die aktuelle Version in Betrieb ist und wenn nicht, das Forum sofort stilllegen bis die aktuelle Version installiert wurde.

Siehe dazu auch:

    * Zahlreiche Fehler in Forensoftware phpBB beseitigt auf heise Security
    * Remote Command Execution Exploit auf FrSIRT

Quelle und Links : http://www.heise.de/security/news/meldung/67768

[SiLæncer]

Mit dem Ausklingen des Jahres 2005 melden sich auch die großen Antivirus- und E-Mail-Spezialisten mit ihren Jahresrückblicken zu Wort. Insbesondere in einem Punkt sind sich Sophos, F-Secure und MessageLabs in ihren Veröffentlichungen einig: In diesem Jahr war ein deutlicher Trend weg von aggressiven und großflächigen Virenausbrüchen zu beobachten, die Millionen von Internet-Nutzern treffen. Doch an eine Entspannung der Lage ist nicht zu denken, denn an deren Stelle tritt verstärkt eine Vielzahl von Angriffen mit kleinen Zielgruppen durch hoch spezialisierte und trickreiche Malware, die kaum ins Licht der Öffentlichkeit rückt und daher lange unerkannt bleiben kann.

So lassen sich laut F-Secure die großen Virenausbrüche des zweiten Halbjahres 2005 in nur zwei große Wellen einteilen. Die im August gemeldete Plug&Play-Lücke in Windows brachte schlagartig eine erfolgreiche Wurm-Generation hervor, die sich auf diese Schwachstelle zum Eindringen in Systeme spezialisiert hatte, und im November überflutete Sober.Y Millionen von E-Mail-Postfächern. Andererseits verzeichnete beispielsweise Sophos für 2005 mit rund 16.000 neuen Schädlingen, von denen nahezu zwei Drittel Windows-Trojaner waren, einen um 50 Prozent größeren Zuwachs als im Vorjahreszeitraum.

Obwohl die Zahl der großflächigen Wurm- und Virenausbrüche insgesamt zurückgeht, steigt weiterhin die Zahl der Bot-Netze, bei denen infizierte PCs als Spam-Zombies oder für DoS-Angriffe missbraucht werden. Hier bestimmt weitestgehend Geld die Szene: Bot-Netze werden vermehrt vermietet und verkauft; nicht selten erpressen Kriminelle Website-Betreiber mit der Androhung von DoS-Angriffen. Eine der größten bislang registrierten Zombie-Armeen bestand aus rund 100.000 infizierten Computern.

Bei modernen Schädlingen steht eine möglichst gute Tarnung immer weiter oben auf der Prioritätenliste. So registrierte MessageLabs eine ganze Reihe von speziellen Trojanern, die es auf Zugangsdaten fürs Online-Banking abgesehen haben und dazu zunächst inaktiv blieben. "Sobald der Anwender jedoch eine bestimmte Ziel-Website aufruft, übernehmen Phishing-Trojaner unmittelbar nach der Authentifizierung die Kontrolle über die Session, um systematisch Konten zu plündern" warnt der Filterspezialist. Es ist damit zu rechnen, dass gerade diese professionellen Betrüger dabei nächstes Jahr verstärkt Rootkit-Funktionen einsetzen werden, um ihrem Treiben unerkannt im Hintergrund nachgehen zu können. Wie Sony BMG mit seinem Kopierschutz-Rootkit eindrucksvoll demonstrierte, kann man durch gezielte Manipulationen des Betriebssystems sehr effizient Prozesse und Programme vor Anwendern und auch Antiviren-Programmen verstecken.

Ebenfalls Besorgnis erregend ist die enorme Zunahme von Phishing-Angriffen zum Diebstahl personenbezogener Daten insbesondere für Online-Banking und Bezahldienste. Nach den Erkenntnissen von MessageLabs handelte es sich 2005 bei jeder dreihundertsten E-Mail um eine Phishing-Mail.

Grundsätzlich wird mit immer ausgefeilterem Social Engineering versucht, Nachrichtenempfänger zum Besuch bösartiger Websites oder direkt zur Ausführung von Schadsoftware zu bewegen; ein Umstand, der nach Einschätzung von Sophos vor allem mit der insgesamt verbesserten Sicherheit von Windows-Systemen durch automatische Updates und die standardmäßig aktivierte Windows Firewall von XP Service Pack 2 zusammenhängt. Auch Naturkatastrophen und Terroranschläge, wie nach dem Hurrikan Katrina oder den Anschlägen in der Londoner U-Bahn, würden zunehmend gezielt eingesetzt, um Neugier und Mitleid bei den Lesern zu erzeugen, heißt es bei F-Secure.

Mit der zunehmenden Beliebtheit von Instant Messengern und mobilen Endgeräten sind auch deren Nutzer ein immer attraktiveres Ziel für die Schädlings-Autoren. Würmer lernen, interaktiv auf eingehende IM-Nachrichten zu reagieren und laut F-Secure hat sich die Zahl der Viren für mobile Endgeräte mit inzwischen über 100 seit Ende 2004 nahezu verzehnfacht.

Dass Würmer kein reines Windows-Phänomen sind, demonstrierten 2005 eine Reihe von PHP-Würmern, die gezielt Lücken in PHP-Software ausnutzen, um vor allem Linux-Server zu befallen. Den Reigen eröffnete vergangenes Jahr um diese Zeit Santy, gefolgt von weiteren Würmern, die Schwachstellen unter anderem in phpBB ausnutzten. Derzeit erhält heise Security wieder vermehrt Hinweise zu einem Wurm namens Lupper, der seit November sein Unwesen treibt. Ein Ende dieses Trends ist nicht abzusehen und Schwachstellen in Web-Applikationen werden wohl auch im kommenden Jahr Einfallstore für Würmer darstellen.

Siehe dazu auch:

    * Top-20 der Sicherheitslücken
    * Bedrohung durch Keylogger unterschätzt
    * Studie: Anwender können kaum noch zwischen guten und bösen Mails unterscheiden
    * Millionenschaden durch Phishing
    * Studie: Organisierte Internetkriminalität nimmt rapide zu
    * BSI veröffentlicht Bericht zur IT-Sicherheitslage
    * Weniger Viren, mehr Trojaner

Quelle und Links : http://www.heise.de/security/news/meldung/67644

[SiLæncer]

Mit Version 2.0.19 der beliebten Foren-Software phpBB schließen die Entwickler unter anderem zwei Cross-Site-Scripting-Lücken, die aber nur im Internet Explorer zum Trage kommen. Weitere Neuerung: Die Anzahl maximaler Login-Versuche kann begrenzt werden.

Eine der Cross-Site-Scripting-Lücken fand sich im bbcode zum Anzeigen von URLs. Die Andere betraf HTML-Tags, wenn diese in der Board-Konfiguration erlaubt und aktiviert wurden. Durch die Begrenzung der Login-Versuche wollen die Entwickler Wörterbuchattacken oder Brute-Force-Angriffe verhindern.

Da inzwischen mehrere Würmer im Netz unterwegs sind, die automatisiert Schwachstellen in älteren phpBB-Versionen auszunutzen versuchen, ist die Installation des jeweils aktuellen Releases dringend zu empfehlen.

Siehe dazu auch:

    * phpBB 2.0.19 released von den phpBB-Entwicklern
    * Download der neuen phpBB-Version

Quelle und Links : http://www.heise.de/security/news/meldung/67878

[SiLæncer]

Nachdem im Forum eines deutschen Webhosters bereits vor 14 Tagen auf einen phpBB-Bot hingewiesen wurde, der sich als Anwender mit dem Namen FuntKlakow registrierte, spekulieren nun weitere Foren und Blogs über seine Funktion und eine mögliche Vorbereitung eines großangelegten Angriffs. Fakt ist: Seit dem 4. März legt ein Bot in tausenden von phpBB-Foren einen Anwender namens FuntKlakow an. In einigen Fällen postet der Bot recht kurze Meldungen in einige Foren, etwa "Wow, that is cool!", "I agree with you completely" und oder "Ditto". Manchmal trägt er Werbung in seiner Signatur ein, was die Vermutung nahe legt, dass es sich um einen klassischen Spam-Bot handelt.

In vielen Fällen scheint er aber auch inaktiv zu bleiben, was einige phpBB-Betreiber befürchten lässt, dass FuntKlakow einen Angriff auf eine bislang unbekannte Schwachstelle vorbereitet, für die ein aktiver Account notwendig ist. Selbst wenn dafür kein aktives Konto erforderlich ist, wäre der Bot so bereits im Besitz einer großen Liste von phpBB-Servern. Er müsste also nicht umständlich über Google nach verwundbaren Foren suchen, wie beispielsweise der um Weihnachen 2004 ausgebrochene phpBB-Wurm Santy. Seinerzeit blockte Google schnell die spezifischen Suchanfragen des Wurms ab, sodass er sich nicht mehr weiterverbreiten konnte.

Ob nur Spam-Versuch oder Angriffsvorbereitung: Nervig sind solche automatisierten Anmeldungen auf jeden Fall. Hat FuntKlakow das eigene Board noch nicht besucht, so sollte man in der Nutzerverwaltung von phpBB den Namen unter "Disallow Names" eintragen. Dabei lohnt es sich gleich auch noch andere bekannte Spam-Konten wie jtfoe1974, unmmyns, coldsorin, fairlande, largepafilis, pirsrv, sadlatour, bighor-lam, greatfintan, budowa_cepa und Cepelin zu sperren. Bei kleineren Boards hilft auch die Aktivierung der E-Mail-Validierung, also das Senden eines Bestätigungslinks an das bei der Anmeldung angegebene Mail-Postfach. Zumindest FuntKlakow soll darauf nicht reagieren, sodass das Konto inaktiv bleibt.

Um schon den Anmeldeversuch des Bots in Leere laufen zu lassen, dient die in phpBB integrierte visuelle Bestätigung einer zufälligen, per Grafik dargestellen Zeichenkette, auch Captcha genannt. Leider ist auch hier das Wettrüsten bereits in vollem Gange. Für einige Ausführungen von Captchas, auch der von phpBB, gibt es bereits Erkennungsroutinen.

Siehe dazu auch:

    * phpBB mass-hack being prepared, Posting auf issociate.de
    * PWNtcha - captcha decoder , Erkennungsroutine für Captchas

Quelle und Links : http://www.heise.de/security/news/meldung/71030

[SiLæncer]

Für die beliebte Forensoftware phpBB entwickeln Enthusiasten Erweiterungen in Form von Modulen. Diese können jedoch auch für Schwachstellen verantwortlich zeichnen, über die Angreifer beliebige PHP-Dateien auf dem Forenserver ausführen können.

Ein Hacker mit dem Namen [Oo] hat in den zwei Zusatzmodulen TopList sowie Advanced Guestbook Lücken ausfindig gemacht, über die Angreifer durch Setzen des Parameters phpbb_root_path beliebige PHP-Dateien auch von anderen Servern einbinden können. Dazu muss jedoch die Option register_globals aktiviert sein.

[Oo] hat zu den Lücken Exploits programmiert, die die Ausnutzbarkeit der Schwachstellen demonstrieren. Betroffen sind TopList-Versionen bis einschließlich 1.3.8, das Advanced Guestbook erlaubt das Unterschieben von PHP-Skripten bis einschließlich Version 2.4.0.

Umgehungsmaßnahmen oder Updates gibt es bis jetzt nicht. Da jedoch register_globals zum Funktionieren der Exploits aktiviert sein muss, sollte das Deaktivieren dem Problem abhelfen.

Siehe dazu auch:

    * TopList-Demo-Exploit auf milw0rm.com
    * Advanced-Guestbook-Demo-Exploit auf milw0rm.com

Quelle und Links : http://www.heise.de/security/news/meldung/72626