Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 22 reacties
Bron: phpBB.com, submitter: MandersOnline

PhpBB is een krachtig, schaalbaar en volledig aanpasbaar forum pakket met een gebruikersvriendelijke interface en doeltreffende beheersfuncties. Het pakket wordt ontwikkeld in de taal PHP en biedt ondersteuning aan MySQL, MS-SQL, PostgreSQL en Access/ODBC databases voor het opslaan van de data. Sinds kort is versie 2.0.8 uitgebracht waarin een reeks beveiligingslekken worden opgelost. De release notes zien er als volgt uit:

What has changed in this release?

A comprehensive changelog is included with all archives. This edition is centred on fixing a number of critical security issues.

As with 2.0.5, 2.0.6 and 2.0.7 the visual confirmation and the template caching Mods are included in the contrib directory.

Changes since 2.0.7
  • Fixed several vulnerabilities in admin pages
  • Fixed sid checking code in admin/pagestart.php
  • Fixed injection vulnerabilities possible with the img bbcode tag
  • Limited allowed images in img bbcode tag to jpg, jpeg, gif and png
  • Fixed redirect problems - 2.0.7a
  • Fixed sql injection vulnerability in search - 2.0.7a
[break]De volgende downloads staan klaar:
* Patch van 2.0.7a naar 2.0.8
* Full package (Zip - Gzip - Bz2)
Versienummer:2.0.8
Besturingssystemen:Windows 9x, Windows NT, Windows 2000, Linux, BSD, Windows XP, macOS, Solaris, UNIX, Windows Server 2003
Website:phpBB.com
Download:http://www.phpbb.com/downloads.php
Licentietype:GPL
Moderatie-faq Wijzig weergave

Reacties (22)

A demonstration exploit URL to retrieve the administrator's hashed password is provided:

ttp://localhost/phpbb206c/privmsg.php?folder=savebox&mode=read&p=99&pm_sql_
user=AND%20pm.privmsgs_type=-99%20UNION%20SELECT%20username,null,use
ll,null,null,null,null,null,null,null,null,null FROM phpbb_users WHERE user_level=1 LIMIT 1/*
Er staat daar dus dat er een exploit in 2.0.6 zit niet in 2.0.8 ...
Version(s): 2.0.8
Lijkt me overduidelijk? Ik heb 'm trouwens in 2.0.7 uitgeprobeerd en het is echt een nasty vulnerability. Beroerd dat ze wel een soortgelijk probleem gefixt hebben bij de searchfunctie, maar dat deze dus pas n de release van 2.0.8 naar boven komt. Waarschijnlijk overigens dat die bug pas ontdekt is naar aanleiding van de fixes die gedaan zijn. Ik hoop dat ze 't gauw oplossen met een 2.0.9, want ik ben er een beetje mee aan het klooien gegaan en het is een exploit waar je heel wat grappen mee uit kan halen als je 't trucje een keer kent. :X

Overigens, het stukje dat je hier quote als voorbeeld van een exploit mist een aantal dingen en werkt daardoor niet. Verderop die pagina staan enkele werkende voorbeelden die wel een aardig idee geven van de ernst van de bug. :)
Gaat wel erg hard zo met de versies...

Ik heb vrij veel mods en dergelijke dus ik doe de upgrades altijd handmatig, wordt er niet echt vrolijk van als ik dat elke paar weken moet doen.
nou, ik probeer die hier met die versie, maar hij werkt niet? of wat hoort de output te zijn :\
Ik heb er vanmiddag eens goed naar gekeken. Het is inderdaad een foutje in phpBB. Volgens mij komt het door n puntje te veel in de code (.= i.p.v. =). Dit staat op regel 216 van privmsg.php. Ik ben er vrijwel zeker van dat het veranderen van .= naar = het foutje verhelpt.
Is regel 215 ook goed ? Je bedoeld toch hetvolgende neem ik aan:
$pm_sql_user .= "AND ( ( pm.privmsgs_to_userid = " . $userdata['user_id'] . ".
Weet je overigens zeker of dit het probleem oplost ?
Met het wel werkende voorbeeldje kun je de md5-hash van het password van elke user opvragen. Die passwords staan natuurlijk niet plain in de database. Wat veel irritanter is, is dat je voor zover ik heb kunnen nagaan ook gewoon inserts kunt doen, waarbij je dus het password van de administrator door de md5hash van je eigen password zou kunnen vervangen. Dn kun je ineens inloggen met de username van de admin, als je je eigen wachtwoord gebruikt.

Ik heb overigens gisteren contact gehad met Acyd Burn, uit het developersteam van phpBB. Hij liet me het volgende weten:
We have not been notified. I was away over the Weekend and see this alert the first time.

We will be releasing a fix soon, of course. What bugs me is the circumstance that the "founder" did not warn us before posting this to bugtraq. And so shortly after the 2.0.8 release. :/
Ik zie net dat hij inmiddels ook al officieel een fix gepubliceerd heeft voor het probleem. Dat is inderdaad de oplossing die verschillende tweakers hier ook al gevonden hadden: die ne punt in line 215 eruit slopen. Voor de beschrijving van het probleem en de fix zie hier. :)
Ik ben geen phpBB programmeur, maar wel iemand met ervaring met PHP. Ik zie geen rede waarom $pm_sql_user een waarde zou hebben. Daarom heeft het geen nut om die punt daarneer te zetten.

Het probleem is opgelost door de punt weg te halen, dat weet ik zeker. Maar het zou kunnen dat phpBB die punt nodig heeft (kleine kans). Wat in ieder geval blijkt te werken is het uit zetten van register_globals in php.ini. Dit zorgt ervoor dat de GET waarde van pm_sql_user niet het zeflde is als $pm_sql_user
Ik heb zelf ook wel een beetje verstand van php en die punt kan ik me daar ook niet echt indenken..
wat betreft de php.ini, daar heb ik geen toegang tot.. :'(

Maar wat ik dus begrepen had is dat men door dit gat in phpBB de inlognaam en het paswoord van de forum admin te weten kan komen... En dat is nou net wat niemand wil.. |:(

Ik heb de punt verwijderd.. het schijnt nog te werken.. Ik wacht met spanning op 2.09 (in de hoop dat daar het probleem in is opgelost.)
Ik heb gisteren voor het eerst phpBB gedownload en genstalleerd en in de huidige 2.0.8 packages is dit al verbeterd, maar het versienummer is niet omhoog gegaan.
Kan iemand mij uitleggen wat dat 'SQL Injection' precies inhoudt?

Is dit gevaar er altijd, ook als je zelf een PHP pagina maakt dat gegevens ophaalt uit een database?
Als jij zelf een php-pagina maakt dan is dat gevaar er niet zo snel (onder voorbehoud dat je zelf wel een beetje inzicht hebt in wat veilig is en wat niet). 't Probleem is hier dat de volledige query in een variabele zit. Als je dat doet op de manier waarop phpBB dat nu in prvmsg.php heeft gedaan en het dan niet genoeg aftimmert, dan kun je dus gewoon door te klooien met de URL een andere waarde aan die variabele meegeven. Zodoende ben je dan dus in staat om zelf een heel andere query op te geven dan eigenlijk toegestaan zou moeten zijn. :)

Als jij maar volgens de boekjes werkt dan zul je dat probleem dus niet zo snel hebben. phpBB is echter zo onderhoudsvriendelijk geschreven, dat het soms te mooi is en dan krijg je dit soort dingen. :)
Heb het nog niet echt gelezen, maar volgens mij wil dit zeggen dat mensen "harde" SQL code kunnen uitvoeren. Dit houd dus in dat men direct op de database queries kan uitvoeren (en dat is niet echt heel erg ok :7).
Zie voorbeeldje hierboven van lowrider :)
Aha, ook eens een update van die jongens. Erg veel fora draaien nu nog v.2.0.6, uit 2002. Leuk om te weten dat ze er toch nog aan werken :)

/EDIT: Ok, I was wrong, sorry. Ik zag onder die fora steeds staan: (C) 2001-2002 phpBB Group
phpBB 2.0.6 is van 3 Augustus 2003 :?

En in tussentijd zijn er regelmatig updates uitgebracht...
intval is the keyword :).
intval is leuk, maar de bug zat ook in de search, en het zou handig zijn als je op hele woorden kan zoeken, ipv alleen getallen :)
Ik gebruik tegenwoordig SMF, http://www.simplemachines.org

Erg goed forum. Van dezelfde makers van het oude YabbSE.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True