Neue kritische Lücke in Foren-Software phpBB

13. März 2005, 16:18
posten

Kleiner Fehler erweist sich als verheerend – Normale BenutzerInnen können Administrationsrechte erhalten

Nachdem vor einigen Wochen aufgrund einer schweren Sicherheitslücke massenhafte Angriffe auf phpBB-basierte Boards erfolgten, muss das Projekt schon wieder Alarm auslösen: Aufgrund eines Fehlers in der Software können normale BenutzerInnen Administrationsrechte erlangen.

Details

Der Fehler liegt dabei im Detail: In der Datei sessions.php findet ein Check statt, der ein "=" zu wenig aufweist, die Zeile

if( $sessiondata['autologinid'] == $auto_login_key )

sollte auf

if( $sessiondata['autologinid'] === $auto_login_key )

ausgebessert zu werden.

Qualitätsprobleme

PhpBB erfreut sich unter den verschiedenen angeboten Diskussions-Board-Lösungen grosser Beliebtheit, allerdings scheint man beim Projekt in letzter Zeit mit der Qualität des Codes zu kämpfen zu haben. Erst vor kurzem wurde phpBB 2.0.12 veröffentlicht, dass ebenfalls Sicherheitslücken bekämpfen sollte.

Update!

Allen BenutzerInnen von phpBB wird dringendst empfohlen auf die neue Version 2.0.13 upzudaten oder die nötige Änderung manuell durchzuführen. (red)

  • Bild nicht mehr verfügbar
Share if you care.