Sicherheitslücken im Forensystem UBB.threads
Einige Fehler sollen das Auslesen beliebiger Dateien vom Rechner des Forenteilnehmers erlauben, andere die Manipulation des UBB.threads-Servers.
Der Sicherheitsdienstleister Gulftech hat eine Reihe von Sicherheitslücken im populären Forensystem UBB.threads von InfoPop entdeckt. Laut Gulftech erlauben es verschiedene Fehler einem Angreifer, per Cross Site Scripting, SQL Injection und das Ausführen von beliebigen Dateien auf dem Rechner eines Forenteilnehmers sowohl dessen Daten auszulesen als auch die UBB.threads-Installation zu manipulieren.
Betroffen sind alle Versionen vor 6.5.2beta. Gultech empfiehlt zur Abhilfe ein sofortiges Update auf diese Vorabversion. Doch Infopop ist wesentlich zurückhaltender, da die neue Version unter anderem ein Update auf PHP 4.1 erfordert. Wegen der zahlreichen Änderungen geht der Hersteller von einer Beta-Phase von ein bis zwei Wochen aus. Angesichts der von Gulftech bereits angedeuteten Exploits für einige der Lücken könnte es in dieser Zeit jedoch schon echte Angriffe auf UBB.threads-Installationen und deren Benutzer geben. (je)