phpBB-Mods und tinyBB mit kritischen Lücken
Kritische Lücken in diverser Forensoftware machen derzeit Webserver unsicher. Im Monat Mai wurden auf Sicherheits-Mailinglisten und in einschlägigen Exploit-Sammlungen Advisories und Exploits zum Bulletin-Board tinyBB sowie den phpBB-Mods Activity Mod Plus, Advanced Guestbook, Blend Portal System, foing, Knowledge Base, Nivisec Hacks List, phpbb-Auction, phpRaid und TopList veröffentlicht. In allen vorliegenden Fällen ist es einem Angreifer mit Hilfe der Exploits übers Netz unter Umständen möglich, beliebigen PHP-Code mit Rechten des Webserver-Prozesses ausführen zu lassen, sofern dieser mit der Option register_globals on läuft. Zusätzlich ist es einem Angreifer in tinyBB auch möglich, sich unter beliebigen Account-Namen und ohne Kenntnis eines gültigen Passwortes anzumelden.
Diese Schwachstellen finden sich laut den Advisories und Exploits in den genannten Mods bis einschließlich der jeweils aktuellen Version. Auch tinyBB ist demnach bis einschließlich der aktuellen Version 0.3 verwundbar. Die bislang für Activity Mod Plus, Blend Portal System und TopList verfügbaren Patch-Anleitungen sollten die Board-Admins bei Verwendung dieser Module also unbedingt befolgen. Die genannten Lücken lassen sich Gott sei Dank in einem Rutsch schließen, wenn der Server-Admin die PHP-Option register_globals off in der Konfigurationsdatei php.ini setzt. Dieses Vorgehen ist bei Shared-Webhosting in der Regel aber nicht möglich, da es immer noch PHP-Software gibt, die auf register_globals angewiesen ist. In diesem Fall hilft nur, verwundbare Mods selbst zu flicken oder sie eben einfach zu deinstallieren.
Siehe dazu auch:
- tinyBB <= 0.3 Multiple Remote Vulnerabilities, Advisory von Mustafa Can Bjorn
- Patch-Anleitung für Activity Mod Plus und Blend Portal System auf php-tweaks.com
Quelle: heise