28.02.2005, 15:34

Panagiotis Kolokythas

phpBB 2.0.13: Zwei (kritische) Sicherheitslücken gestopft

Bereits kurze Zeit nach der Veröffentlichung der Version 2.0.12 der Opensource-Forenplattform phpBB waren zwei, teils kritische, Sicherheitslücken bekannt geworden. Die Entwickler liefern jetzt die Version 2.0.13 nach, mit der die Lücken gestopft werden. Alternativ können beide Lecks auch mittels einfacher Einzeiler geschlossen werden.
Die Entwickler der Opensource-Forenplattform phpBB haben mit der Version 2.0.13 eine neue Version veröffentlicht. Wer phpBB für seine Website einsetzt, der wird aufgefordert, sofort die neue Version zu nutzen, denn durch sie werden zwei Sicherheitslücken geschlossen. Eine davon wird als "kritisch" eingestuft.
Passend zu dem Grund der Veröffentlichung haben die Entwickler die neue Version auch als "Beware of the furries" Edition genannt. Die neue Version war notwendig geworden, weil kurz nach Veröffentlichung der Version 2.0.12 zwei Sicherheitslücken publik wurden. "Keiner ist mehr als wir darüber verärgert, dass wir in so kurzer Zeit eine neue Version veröffentlichen bringen", heißt es auf der Website von phpBB. Die gute Nachricht angesichts der beiden Sicherheitslücken: Beide lassen sich durch jeweils einen simplen Einzeiler im Code wieder schließen.
Die erste Sicherheitslücke wird als kritisch eingestuft. Das Session Handling kann dazu führen, dass jeder Anwender Administratoren-Rechte erhalten kann. Um die Sicherheitslücke zu schließen, muss die Datei "includes/sessions.php" geöffnet werden. Dort muss nach folgender Programmzeile gesucht werden:
if( $sessiondata['autologinid'] == $auto_login_key )
Diese muss durch folgende Zeile ersetzt werden:
if( $sessiondata['autologinid'] === $auto_login_key )
Die zweite, entdeckte Lücke wird als weniger schwerwiegend angesehen. Dabei handelt es sich um einen "path disclosure"-Bug in der Datei viewtopic.php.
Zur Behebung muss in dieser Datei nach folgender Code-Zeile gesucht werden:
$message = str_replace('\"', '"', substr(preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "preg_replace('#\b(" . $highlight_match . ")\b#i', '\\1', '\0')", '>' . $message . '<'), 1, -1));
Diese Zeile muss durch die folgende Zeile ersetzt werden:
$message = str_replace('\"', '"', substr(@preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "@preg_replace('#\b(" . $highlight_match . ")\b#i', '\\1', '\0')", '>' . $message . '<'), 1, -1));
Die Schließung der Sicherheitslücken sollte so schnell wie möglich folgen. Alternativ zur manuellen Vorgehensweise wird die aktualisierte Fassung von phpBB in drei Varianten (Full Package, Changed Files Only, Patch File Only) zum Download angeboten.

Sicherheits-Newsletter:
Sie möchten in punkto Sicherheit immer auf dem Laufenden bleiben? Dann abonnieren Sie doch einfach unseren kostenlosen Security-Newsletter. Dieser wird werktäglich verschickt. Bei Bedrohungen, die sofortiges Handeln erfordern, erhalten Sie zudem einen Security-Alert per Mail. Sie können den Newsletter auf dieser Website bestellen.
Diskutieren Sie mit anderen Lesern über dieses Thema:
Windows 8: Alle Informationen
Windows 8
Alle Details

Alle Informationen und Updates zum neuen Betriebssystem Windows 8 von Microsoft. mehr

- Anzeige -
PC-WELT Specials
Angebote für PC-WELT-Leser
PC-WELT Onlinevideothek

PC-WELT Online-Videothek
Keine Abogebühren oder unnötige Vertragsbindungen. Filme und Games bequem von zu Hause aus leihen.

Tarifrechner
Der PC-WELT Preisvergleich für DSL, Strom und Gas. Hier können Sie Tarife vergleichen und bequem viel Geld sparen.

PC-WELT Sparberater
Das Addon unterstützt Sie beim Geld sparen, indem es die besten Angebote automatisch während des Surfens sucht.

- Anzeige -
Marktplatz

Amazon Preishits
jetzt die Schnäpchen bei den Elektronikartikel ansehen! > mehr

141457
Content Management by InterRed