Software für Diskussionsforen verrät Hashes von Passwörtern [Update]

Die Software phpBB gibt aufgrund eines Fehlers unter anderem MD5-Hashes von Passwörtern preis.

In Pocket speichern vorlesen Druckansicht 367 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Der Sicherheitsspezialist Rick Patel beschreibt in der Mailingliste Full-Disclosure eine Schwachstelle bei der Verarbeitung von Benutzereingaben in der Bulletin-Board-Software phpBB bis Version 2.0.5. Zum Testen der Schwachstelle wird in dem Advisory auch ein Perl-Skript aufgeführt.

phpBB ist eine Open-Source-Lösung für eigene Bulletin Boards auf Unix- und Windowssystemen. Es bietet die Möglichkeit, Diskussionsforen zu eröffnen und zu betreiben. Das User- und Administrationsinterface ist webbasiert und einfach zu bedienen.

phpBB basiert auf PHP und verwendet eine SQL-Datenbank. Eine Variable, die zur Auswahl von Foren dient, wird vom Benutzer an den Server übermittelt und ohne weitere Prüfung in einer Datenbankabfrage verwendet. Manipuliert man diese Variable, schafft man es durch SQL-Injection, eigene Befehle in die Datenbankabfrage einzuschleusen und auszuführen. In dem Advisory wird das Leck benutzt, um die in der Datenbank gespeicherten Passwörter für phpBB auszugeben. Diese sind zwar als MD5-Hash gespeichert, eine Brute-Force- oder Wörterbuch-Attacke mit einem Passwortcracker kann aber, --bei Verwendung von schwachen Passwörtern, schnell zum Erfolg führen. Im Gegensatz zu einer Online-Attacke lassen sich offline mehrere tausend Kombinationen pro Sekunde durchprobieren um einen identischen Hash-Wert und somit das richtige Passwort zu finden

Ein Patch ist nicht verfügbar, jedoch eine Beschreibung zur Behebung des Sicherheitslecks. (dab)