Erneut kritische Lücke in phpBB

Snake · Beitrag von **Snake** » 01.03.2005 08:11

Erneut kritische Lücke in phpBB

Betreiber der populären Forensoftware phpBB kommen nicht zur Ruhe. Kaum ist die kürzlich veröffentlichte Version 2.0.12 installiert -- in der zwei Sicherheitslöcher geschlossen sind -- steht 2.0.13 ins Haus. Auch dort hat man zwei Lücken beseitigt. Über eine davon können Angreifer an Administratorrechte gelangen und so etwa die Kontrolle über die Foren übernehmen. Die Entwickler empfehlen dringend das Update auf die fehlerbereinigte Version.

Wer nicht gewillt ist, eine komplett neue Version zu installieren, kann den kritischen Fehler im Modul includes/sessions.php auch selbst beseitigen. Die Zeile

if( $sessiondata['autologinid'] == $auto_login_key )

ist durch

if( $sessiondata['autologinid'] === $auto_login_key )

zu ersetzen.

Die zweite, weniger kritische Schwachstelle erfordert etwas mehr Änderungen. Nähere Angaben sind deshalb dem Original-Advisory zu entnehmen.

Siehe dazu auch:

* phpBB 2.0.13 released - Critical Update auf phpBB.com

Quelle: heise.de

Beitrag von **Markus** » 01.03.2005 08:21

erledigt...

Snake · Beitrag von **Snake** » 31.10.2005 15:27

laut changelog ganz unheimlich wichtig usw, aber mit richtig arbeit verbunden

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=336756

Modano · Beitrag von **Modano** » 01.11.2005 16:37

Wird Zeit fürs wBB