Spielemagazin.de Forum

Die Diskussionsforen-Software phpBB ist für eine weitere Cross-Site-Scripting-Attacke anfällig. Betroffen sind die Versionen bis einschließlich der aktuellen 2.0.16. Es ist bereits ein Exploit aufgetaucht, der dieses Leck nutzt. Der veröffentlichte Exploit schickt die Cookies eines Forum-Nutzers an einen beliebigen Server, sofern dieser mit dem Internet Explorer einen Beitrag aufruft, der den schadhaften Code enthält. Es ist gut möglich, dass auch schon Code existiert, der im Zusammenspiel mit anderen Webbrowsern funktioniert. Mit diesem Schadcode lassen sich gegebenenfalls die Zugangsdaten von Forumsteilnehmern ergaunern.

Die phpBB-Entwickler arbeiten derzeit an einem Patch gegen die Lücke. Meik Sievertsen, der unter dem Pseudonym "acyd burn" die Entwicklung der Forensoftware leitet, bestätigte heise Security auf Anfrage die Lücke sowie die Funktionsfähigkeit des Exploits und ergänzt: "phpBB 2.0.17 steht vor der Tür und befindet sich im finalen Teststadium. Der Zeitdruck ist natürlich immens, da der Urheber den Exploit gepostet hat, ohne uns vorher zu informieren."

Einen Workaround für das Problem gibt es derzeit nicht. Bei Verfügbarkeit der neuen Version sollten betroffene Administratoren zum Schutze ihrer eigenen Sicherheit und der ihrer Forenmitglieder umgehend das Update einspielen.

Update: Auf der Seite www.phpbb2.de ist ein inoffizieller Patch verfügbar. Betroffene Administratoren sollten den Anweisungen auf der Seite folgen und eine Sicherungskopie der zu ersetzenden Datei anlegen.

Dankeee. Hab das entsprechend geändert. Muss jetzt aber auch testen ob alles geht, daher ein kleiner Link

www.grdb.de

und dann noch was FETT was kursiv und nochn Link test

Update:
Mit der heute erschienenen Version 2.0.17 der Diskussionsforen-Software phpBB schließen die Entwickler vor allem die vor kurzem bekannt gewordene Cross-Site-Scripting-Lücke. In den Release-Notes erklären die Entwickler, dass phpBB derzeit einem ausführlichen Security Audit unterzogen wird, um die Sicherheit der Software zu verbessern. Hierzu habe man ein Team zusammengestellt, dem unter anderem Programmierer von populären Erweiterungen für phpBB angehören, die tiefergehendes Verständnis der Codebasis besitzen.

Auf der Download-Seite des Projektes stehen die aktualisierten Pakete zur Verfügung. Administratoren, die phpBB einsetzen, wird zu einem zügigen Update geraten. Neben der Cross-Site-Scripting-Lücke hat das Entwicklerteam weitere Fehler in der Forensoftware mit der neuen Version 2.0.17 ausgebügelt.

Da die Security Audits noch andauern, ist in nächster Zeit mit kürzeren Update-Zyklen zu rechnen. Dem Forum auf der phpBB-Website ist zu entnehmen, dass sich möglicherweise noch weitere Fehler in der Software befinden. Gegebenenfalls sollte laut den dortigen Postings das BBCODE-System deaktiviert werden, bis die Fehler -- vor allem in der Highlighting-Funkton -- endgültig beseitigt wurden.