[Generic/phpBB] Weitere Schwachstelle im Highlighting-Code von phpBB Options

von Mickey vom 30.06.2017 - 274 Hits -

[Generic/phpBB] Weitere Schwachstelle im Highlighting-Code von phpBB - Angriffe erfolgen (2005-06-30 10:11:23.011741+02)
Quelle: http://seclists.org/lists/fulldisclosure/2005/Jun/0358.html

Eine Schwachstelle im Highligting-Code der Forensoftware phpBB der Version 2.0.15 ermöglicht Angreifern die Ausführung beliebigen Programmcodes mit den Privilegien des PHP-Interpreters auf dem beherbergenden Rechnersystem.
Das RUS-CERT beobachtet bereits Angriffsversuche.

Betroffene Systeme
* phpBB 2.0.15 und frühere Versionen

Nicht betroffene Systeme
* phpBB 2.0.16

Einfallstor
Spezielle Anfrage an den beherbergenden Webserver.

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des PHP-Interpreters, bzw. des Webservers auf dem beherbergenden Rechnersystem über eine Netzwerkverbindung (remote user compromise)

Typ der Verwundbarkeit
implementation flaw

Gefahrenpotential
hoch
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Beschreibung
Ein Programmierfehler in viewtopic.php, das vom Code zur Hervorhebung von Text ("Highlighting") verwendet wird, führt dazu, daß Daten nicht intendiert als PHP-Code interpretiert werden. Dies kann von einem Angreifer dazu ausgenutzt werden, beliebigen PHP-Code durch die fehlerhafte Software mit den Privilegien des PHP-Interpreters auf dem beherbergenden Rechnersystem ausführen zu lassen.

Das RUS-CERT beobachtet bereits aktive Versuche, diese Schwachstelle auszunutzen.

Gegenmaßnahmen
* Installation eines [2]Patches
* Installation von [3]phpBB 2.0.16 oder später

Exploit Status
* Funktionierender [4]Exploit-Code ist in Umlauf

Vulnerability ID
* Bisher nicht vergeben

Weitere Information zu diesem Thema
* [5]phpBB Homepage

Aktuelle Version dieses Artikels
[6]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1254

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2005 RUS-CERT, Universität Stuttgart, [7]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=302011
3. http://www.phpbb.com/downloads.php
4. http://seclists.org/lists/fulldisclosure/2005/Jun/0384.html
5. http://www.phpbb.com/
6. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1254
7. http://CERT.Uni-Stuttgart.DE/

----------------------------------------------------------------------

Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE

[Kommentar schreiben]

Ich möchte eine Frage im Forum stellen