heise.de Fehler in Foren-Software phpBB

Lieber Besucher, herzlich willkommen bei: Linux Forum Linux-Web.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

ozoon

Chefdiplomat

Beiträge: 1 461

Wohnort: Österreich

Beruf: Student

29.03.2004, 17:41

Fehler in Foren-Software phpBB

Ein Fehler bei der Filterung von Benutzereingaben im Skript privmsg.php der Foren-Software phpBB ermöglicht Angreifern die Übergabe eigener Kommandos an die darunter liegende SQL-Datenbank. Damit ist es möglich, beispielsweise in der Datenbank gepeicherte Passwort-Hashes auszulesen. Betroffen ist Version 2.0.8 sowie frühere. Ein Patch ist in einem eigenen Advisory der Entwickler von phpBB aufgeführt. Darin beschweren sie sich auch über die Vorgehensweise des Entdeckers der Lücke -- Janek Vind -- , der die Meldung auf Bugtraq veröffentlichte, ohne vorher das phpBB-Team zu informieren

mehr dazu:

Security Advisory auf phpBB

Security Advisory Bugtraq

(dab/c't)

[IMG]http://starzaki.eu.org/~rael/kdepl/kdeusersmall.php?kdeuserid=1951[/IMG]

You are registered Linux user #318178

Zum Seitenanfang