zurück zum Artikel

Eine Sicherheitslücke in der Portal-Software phpBB ermöglicht Angreifern das Auslesen von Passwort-Hashes und das Einschleusen von beliebigem SQL-Code.

Eine Sicherheitslücke in der Portal-Software phpBB [1] ermöglicht Angreifern das Einschleusen von beliebigem SQL-Code. Es kursieren mittlwerweile Exploits, mit denen sich beispielsweise die Passwort-Hashes der phpBB-Nutzer auslesen lassen.

Das Problem liegt im Paramater search-id, der nicht hinreichend überprüft wird: Angreifer können hier Zeichen einbauen, die SQL-Queries manipulieren. Der Fehler wurde für die Version 2.0.6 gemeldet, aber frühere Versionen sind möglicherweise auch betroffen. Die Entwickler stellen auf Ihren Webseiten einen Patch [2] für search.php bereit, der das Problem behebt. (pab)

URL dieses Artikels:
https://www.heise.de/-89499

Links in diesem Artikel:
[1] http://www.phpbb.com/
[2] http://www.phpbb.com/phpBB/viewtopic.php?t=153818

Copyright © 2003 Heise Medien