Kritische SicherheitslĂĽcke in SimpleBBS
Durch einen kritischen Programmierfehler in dem Foren-System ist es einem Angreifer übers Netz möglich, beliebigen Schadcode mit den Rechten des Webserver-Prozesses auszuführen.
Das Foren-System SimpleBBS weist bis einschließlich Version 1.1 eine kritische Sicherheitslücke auf, die ein Angreifer übers Netz zur Ausführung von beliebigem Schadcode mit den Rechten des Webserver-Prozesses ausnutzen kann. Dies geht aus einem Advisory des französischen Sicherheitsdienstleisters FrSIRT hervor.
Demnach wird der Parameter name bei der Auswertung in includes/newtopic.php nicht ausreichend validiert, wodurch es bei der Weiterverarbeitung in data/topics.php zur AusfĂĽhrung von beliebigen PHP-Code kommem kann. FĂĽr diese SicherheitslĂĽcke ist noch kein offizieller Patch bekannt. Offenbar wurde der Support fĂĽr das Produkt zumindest vorĂĽbergehend eingestellt, das Support-Forum von SimpleMedia liefert derzeit nur PHP-Fehlermeldungen.
Siehe dazu auch: (cr)
- Advisory zur LĂĽcke in SimpleBBS von FrSIRT
