phpBB-Mods und tinyBB mit Löchern

Kritische Lücken in diverser Forensoftware machen derzeit Webserver unsicher. Im Monat Mai wurden auf Sicherheits-Mailinglisten und in einschlägigen Exploit-Sammlungen Advisories und Exploits zum Bulletin-Board tinyBB sowie den phpBB-Mods Activity Mod Plus, Advanced Guestbook, Blend Portal System, foing, Knowledge Base, Nivisec Hacks List, phpbb-Auction, phpRaid und TopList veröffentlicht. In allen Fällen ist es einem Angreifer mit Hilfe der Exploits übers Netz unter Umständen möglich, beliebigen PHP-Code mit Rechten des Webserver-Prozesses ausführen zu lassen, sofern dieser mit der Option register_globals on läuft. Zusätzlich ist es einem Angreifer in tinyBB möglich, sich unter beliebigen Account-Namen ohne Kenntnis eines gültigen Passwortes anzumelden.

Die Schwachstellen finden sich laut den Advisories und Exploits in den genannten Mods bis einschließlich der jeweils aktuellen Version. Auch tinyBB ist demnach bis einschließlich der aktuellen Version 0.3 verwundbar. Die bislang für Activity Mod Plus, Blend Portal System und TopList verfügbaren Patch-Anleitungen sollten Board-Admins bei Verwendung dieser Module unbedingt befolgen. Die genannten Lücken lassen sich in einem Rutsch schließen, wenn der Server-Admin die PHP-Option register_globals off in der Konfigurationsdatei php.ini setzt. Dieses Vorgehen ist bei Shared-Webhosting in der Regel nicht möglich, da es immer noch PHP-Software gibt, die auf register_globals angewiesen ist. In diesem Fall hilft nur, verwundbare Mods selbst zu flicken oder sie zu deinstallieren.

Siehe dazu auch:

• tinyBB <= 0.3 Multiple Remote Vulnerabilities, Advisory von Mustafa Can Bjorn
• Patch-Anleitung für Activity Mod Plus und Blend Portal System auf php-tweaks.com
• phpBB-Module reißen Sicherheitslöcher auf, Meldung von heise Security