Einbruch in Webseite von Boardsoftware phpBB

Die Webseite der populären Boardsoftware phpBB ist derzeit aufgrund eines Einbruchs nicht zu erreichen. Beim Aufruf erscheint nur der Hinweis, dass jemand durch eine veraltete Version der Newsletter-Management-Software PHPList eingedrungen sei. phpBB.com und dazugehörige Seiten seien bis zur Wiederherstellung nicht zu erreichen. Nach Angaben des Internet Storm Center (ISC) konnte der Eindringling E-Mail-Adressen und die verschlüsselten Passwörter aller Nutzer auslesen.

Offenbar hat der Angreifer eine seit dem 14. Januar bekannte Local-File-Inclusion-Schwachstelle ausgenutzt, um die Daten auf dem Server auszulesen. Zwar haben die Entwickler von PHPList die Lücke am 29. Januar mit Version 2.0.19 geschlossen. Vermutlich hatte der Angreifer aber bereits zuvor Zugriff auf die Daten. Laut ISC soll er die Daten veröffentlicht haben. Ob er Zugang zum phpBB-Server hatte, ist nicht bekannt.

In phpBB sind nach Angaben der Entwickler keine Lücken bekannt. Zwar ist die Webseite nicht zu erreichen, wer aber die Software herunterladen möchte, kann dies über www.ohloh.net/p/phpbb tun. (dab)