Quelle: heise.de
Erneut kritische Lücke in phpBB
Betreiber der populären Forensoftware phpBB kommen nicht zur Ruhe. Kaum ist die kürzlich veröffentlichte Version 2.0.12 installiert -- in der zwei Sicherheitslöcher geschlossen sind -- steht 2.0.13 ins Haus. Auch dort hat man zwei Lücken beseitigt. Über eine davon können Angreifer an Administratorrechte gelangen und so etwa die Kontrolle über die Foren übernehmen. Die Entwickler empfehlen dringend das Update auf die fehlerbereinigte Version.
Wer nicht gewillt ist, eine komplett neue Version zu installieren, kann den kritischen Fehler im Modul includes/sessions.php auch selbst beseitigen. Die Zeile
if( $sessiondata['autologinid'] == $auto_login_key )
ist durch
if( $sessiondata['autologinid'] === $auto_login_key )
zu ersetzen.
Die zweite, weniger kritische Schwachstelle erfordert etwas mehr Änderungen. Nähere Angaben sind deshalb dem Original-Advisory zu entnehmen.
Siehe dazu auch:
* phpBB 2.0.13 released - Critical Update auf phpBB.com
Erneut kritische Lücke in phpBB
Erneut kritische Lücke in phpBB
---------------------
Die Vernunft kann sich mit größerer Wucht dem Bösen entgegenstellen, wenn der Zorn ihr dienstbar zur Hand geht!
Die Vernunft kann sich mit größerer Wucht dem Bösen entgegenstellen, wenn der Zorn ihr dienstbar zur Hand geht!
Erneut kritische Lücke in phpBB
laut changelog ganz unheimlich wichtig usw, aber mit richtig arbeit verbunden
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=336756
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=336756
---------------------
Die Vernunft kann sich mit größerer Wucht dem Bösen entgegenstellen, wenn der Zorn ihr dienstbar zur Hand geht!
Die Vernunft kann sich mit größerer Wucht dem Bösen entgegenstellen, wenn der Zorn ihr dienstbar zur Hand geht!
Erneut kritische Lücke in phpBB
Wird Zeit fürs wBB