Keksklau mit phpBB [Update]
Die Forensoftware phpBB 2.0.16 ist für eine Cross-Site-Scripting-Attacke anfällig.
Die Diskussionsforen-Software phpBB ist für eine weitere Cross-Site-Scripting-Attacke anfällig. Betroffen sind die Versionen bis einschließlich der aktuellen 2.0.16. Es ist bereits ein Exploit aufgetaucht, der dieses Leck nutzt. Der veröffentlichte Exploit schickt die Cookies eines Forum-Nutzers an einen beliebigen Server, sofern dieser mit dem Internet Explorer einen Beitrag aufruft, der den schadhaften Code enthält. Es ist gut möglich, dass auch schon Code existiert, der im Zusammenspiel mit anderen Webbrowsern funktioniert. Mit diesem Schadcode lassen sich gegebenenfalls die Zugangsdaten von Forumsteilnehmern ergaunern.
Die phpBB-Entwickler arbeiten derzeit an einem Patch gegen die Lücke. Meik Sievertsen, der unter dem Pseudonym "acyd burn" die Entwicklung der Forensoftware leitet, bestätigte heise Security auf Anfrage die Lücke sowie die Funktionsfähigkeit des Exploits und ergänzt: "phpBB 2.0.17 steht vor der Tür und befindet sich im finalen Teststadium. Der Zeitdruck ist natürlich immens, da der Urheber den Exploit gepostet hat, ohne uns vorher zu informieren."
Einen Workaround für das Problem gibt es derzeit nicht. Bei Verfügbarkeit der neuen Version sollten betroffene Administratoren zum Schutze ihrer eigenen Sicherheit und der ihrer Forenmitglieder umgehend das Update einspielen.
Update: Auf der Seite www.phpbb2.de ist ein inoffizieller Patch verfügbar. Betroffene Administratoren sollten den Anweisungen auf der Seite folgen und eine Sicherungskopie der zu ersetzenden Datei anlegen.
Siehe dazu auch: (dmk)
- Security Tracker von phpBB (die Lücke ist noch nicht aufgeführt)
- Download-Seite von phpBB
