Ein Fehler bei der Filterung von Benutzereingaben im Skript privmsg.php der Foren-Software phpBB ermöglicht Angreifern die Übergabe eigener Kommandos an die darunter liegende SQL-Datenbank. Damit ist es möglich, beispielsweise in der Datenbank gepeicherte Passwort-Hashes auszulesen. Betroffen ist Version 2.0.8 sowie frühere. Ein Patch ist in einem eigenen Advisory der Entwickler von phpBB aufgeführt. Darin beschweren sie sich auch über die Vorgehensweise des Entdeckers der Lücke -- Janek Vind -- , der die Meldung auf Bugtraq veröffentlichte, ohne vorher das phpBB-Team zu informieren

mehr dazu:
Security Advisory auf phpBB
Security Advisory Bugtraq

(dab/c't)