Software-update: phpBB 2.0.8

PhpBB is een krachtig, schaalbaar en volledig aanpasbaar forum pakket met een gebruikersvriendelijke interface en doeltreffende beheersfuncties. Het pakket wordt ontwikkeld in de taal PHP en biedt ondersteuning aan MySQL, MS-SQL, PostgreSQL en Access/ODBC databases voor het opslaan van de data. Sinds kort is versie 2.0.8 uitgebracht waarin een reeks beveiligingslekken worden opgelost. De release notes zien er als volgt uit:

What has changed in this release?

A comprehensive changelog is included with all archives. This edition is centred on fixing a number of critical security issues.

As with 2.0.5, 2.0.6 and 2.0.7 the visual confirmation and the template caching Mods are included in the contrib directory.

Changes since 2.0.7
  • Fixed several vulnerabilities in admin pages
  • Fixed sid checking code in admin/pagestart.php
  • Fixed injection vulnerabilities possible with the img bbcode tag
  • Limited allowed images in img bbcode tag to jpg, jpeg, gif and png
  • Fixed redirect problems - 2.0.7a
  • Fixed sql injection vulnerability in search - 2.0.7a
[break]De volgende downloads staan klaar:
* Patch van 2.0.7a naar 2.0.8
* Full package (Zip - Gzip - Bz2)
Versienummer 2.0.8
Besturingssystemen Windows 9x, Windows NT, Windows 2000, Linux, BSD, Windows XP, macOS, Solaris, UNIX, Windows Server 2003
Website phpBB.com
Download http://www.phpbb.com/downloads.php
Licentietype GPL

Door Japke Rosink

Meukposter

Feedback • 27-03-2004 15:48
22 • submitter: MandersOnline

27-03-2004 • 15:48

22

Submitter: MandersOnline

Bron: phpBB.com

Update-historie

07-'04 phpBB 2.0.10 16
03-'04 phpBB 2.0.8 22
06-'03 phpBB 2.0.5 18
01-'03 phpBB 2.0.4 16

Lees meer

phpBB

geen prijs bekend

4 van 5 sterren
Overige software Aanvullende componenten

Reacties (22)

-Moderatie-faq
22
21
20
6
3
1
Wijzig sortering
WhiteDog 27 maart 2004 15:57
OPGELET ! Er is een exploit gevonden in deze versie!

phpBB Input Validation Flaw in 'privmsg.php' Lets Remote Users Inject SQL Commands
TheGhost @WhiteDog27 maart 2004 17:25
A demonstration exploit URL to retrieve the administrator's hashed password is provided:

ttp://localhost/phpbb206c/privmsg.php?folder=savebox&mode=read&p=99&pm_sql_
user=AND%20pm.privmsgs_type=-99%20UNION%20SELECT%20username,null,use
ll,null,null,null,null,null,null,null,null,null FROM phpbb_users WHERE user_level=1 LIMIT 1/*
Er staat daar dus dat er een exploit in 2.0.6 zit niet in 2.0.8 ...
Superdeboer @TheGhost27 maart 2004 17:35
Version(s): 2.0.8
Lijkt me overduidelijk? Ik heb 'm trouwens in 2.0.7 uitgeprobeerd en het is echt een nasty vulnerability. Beroerd dat ze wel een soortgelijk probleem gefixt hebben bij de searchfunctie, maar dat deze dus pas ná de release van 2.0.8 naar boven komt. Waarschijnlijk overigens dat die bug pas ontdekt is naar aanleiding van de fixes die gedaan zijn. Ik hoop dat ze 't gauw oplossen met een 2.0.9, want ik ben er een beetje mee aan het klooien gegaan en het is een exploit waar je heel wat grappen mee uit kan halen als je 't trucje een keer kent. :X

Overigens, het stukje dat je hier quote als voorbeeld van een exploit mist een aantal dingen en werkt daardoor niet. Verderop die pagina staan enkele werkende voorbeelden die wel een aardig idee geven van de ernst van de bug. :)
DSmarty @TheGhost27 maart 2004 19:19
Gaat wel erg hard zo met de versies...

Ik heb vrij veel mods en dergelijke dus ik doe de upgrades altijd handmatig, wordt er niet echt vrolijk van als ik dat elke paar weken moet doen.
Verwijderd @TheGhost27 maart 2004 19:31
nou, ik probeer die hier met die versie, maar hij werkt niet? of wat hoort de output te zijn :\
nielsslot @WhiteDog27 maart 2004 18:34
Ik heb er vanmiddag eens goed naar gekeken. Het is inderdaad een foutje in phpBB. Volgens mij komt het door één puntje te veel in de code (.= i.p.v. =). Dit staat op regel 216 van privmsg.php. Ik ben er vrijwel zeker van dat het veranderen van .= naar = het foutje verhelpt.
sjhgvr @nielsslot28 maart 2004 14:51
Is regel 215 ook goed ? Je bedoeld toch hetvolgende neem ik aan:
$pm_sql_user .= "AND ( ( pm.privmsgs_to_userid = " . $userdata['user_id'] . ".
Weet je overigens zeker of dit het probleem oplost ?
Superdeboer @sjhgvr29 maart 2004 00:59
Met het wel werkende voorbeeldje kun je de md5-hash van het password van elke user opvragen. Die passwords staan natuurlijk niet plain in de database. Wat veel irritanter is, is dat je voor zover ik heb kunnen nagaan ook gewoon inserts kunt doen, waarbij je dus het password van de administrator door de md5hash van je eigen password zou kunnen vervangen. Dán kun je ineens inloggen met de username van de admin, als je je eigen wachtwoord gebruikt.

Ik heb overigens gisteren contact gehad met Acyd Burn, uit het developersteam van phpBB. Hij liet me het volgende weten:
We have not been notified. I was away over the Weekend and see this alert the first time.

We will be releasing a fix soon, of course. What bugs me is the circumstance that the "founder" did not warn us before posting this to bugtraq. And so shortly after the 2.0.8 release. :/
Ik zie net dat hij inmiddels ook al officieel een fix gepubliceerd heeft voor het probleem. Dat is inderdaad de oplossing die verschillende tweakers hier ook al gevonden hadden: die éne punt in line 215 eruit slopen. Voor de beschrijving van het probleem en de fix zie hier. :)
nielsslot @sjhgvr28 maart 2004 15:17
Ik ben geen phpBB programmeur, maar wel iemand met ervaring met PHP. Ik zie geen rede waarom $pm_sql_user een waarde zou hebben. Daarom heeft het geen nut om die punt daarneer te zetten.

Het probleem is opgelost door de punt weg te halen, dat weet ik zeker. Maar het zou kunnen dat phpBB die punt nodig heeft (kleine kans). Wat in ieder geval blijkt te werken is het uit zetten van register_globals in php.ini. Dit zorgt ervoor dat de GET waarde van pm_sql_user niet het zeflde is als $pm_sql_user
sjhgvr @sjhgvr28 maart 2004 15:26
Ik heb zelf ook wel een beetje verstand van php en die punt kan ik me daar ook niet echt indenken..
wat betreft de php.ini, daar heb ik geen toegang tot.. :'(

Maar wat ik dus begrepen had is dat men door dit gat in phpBB de inlognaam en het paswoord van de forum admin te weten kan komen... En dat is nou net wat niemand wil.. |:(

Ik heb de punt verwijderd.. het schijnt nog te werken.. Ik wacht met spanning op 2.09 (in de hoop dat daar het probleem in is opgelost.)
PowerFlower @sjhgvr30 maart 2004 11:06
Ik heb gisteren voor het eerst phpBB gedownload en geïnstalleerd en in de huidige 2.0.8 packages is dit al verbeterd, maar het versienummer is niet omhoog gegaan.
Priet 27 maart 2004 16:29
Kan iemand mij uitleggen wat dat 'SQL Injection' precies inhoudt?

Is dit gevaar er altijd, ook als je zelf een PHP pagina maakt dat gegevens ophaalt uit een database?
Superdeboer @Priet27 maart 2004 20:40
Als jij zelf een php-pagina maakt dan is dat gevaar er niet zo snel (onder voorbehoud dat je zelf wel een beetje inzicht hebt in wat veilig is en wat niet). 't Probleem is hier dat de volledige query in een variabele zit. Als je dat doet op de manier waarop phpBB dat nu in prvmsg.php heeft gedaan en het dan niet genoeg aftimmert, dan kun je dus gewoon door te klooien met de URL een andere waarde aan die variabele meegeven. Zodoende ben je dan dus in staat om zelf een heel andere query op te geven dan eigenlijk toegestaan zou moeten zijn. :)

Als jij maar volgens de boekjes werkt dan zul je dat probleem dus niet zo snel hebben. phpBB is echter zo onderhoudsvriendelijk geschreven, dat het soms te mooi is en dan krijg je dit soort dingen. :)
Liqued @Priet27 maart 2004 16:58
Heb het nog niet echt gelezen, maar volgens mij wil dit zeggen dat mensen "harde" SQL code kunnen uitvoeren. Dit houd dus in dat men direct op de database queries kan uitvoeren (en dat is niet echt heel erg oké :7).
Bosmonster @Priet27 maart 2004 17:48
Zie voorbeeldje hierboven van lowrider :)
BèR 27 maart 2004 15:57
Aha, ook eens een update van die jongens. Erg veel fora draaien nu nog v.2.0.6, uit 2002. Leuk om te weten dat ze er toch nog aan werken :)

/EDIT: Oké, I was wrong, sorry. Ik zag onder die fora steeds staan: (C) 2001-2002 phpBB Group
WhiteDog @BèR27 maart 2004 15:59
phpBB 2.0.6 is van 3 Augustus 2003 :?

En in tussentijd zijn er regelmatig updates uitgebracht...
SeD_NcL @BèR28 maart 2004 14:13
En dat ze nog bezig zijn: http://area51.phpbb.com/phpBB22/ :7
zeroxcool 28 maart 2004 15:33
intval is the keyword :).
Arjan A @zeroxcool28 maart 2004 21:26
intval is leuk, maar de bug zat ook in de search, en het zou handig zijn als je op hele woorden kan zoeken, ipv alleen getallen :)
DeadMetal 27 maart 2004 19:36
Ik gebruik tegenwoordig SMF, http://www.simplemachines.org

Erg goed forum. Van dezelfde makers van het oude YabbSE.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq