Previous Thread
Next Thread
Print Thread
Rate Thread
#285661 06/26/2005 7:10 AM
Joined: Jul 2001
Posts: 808
Coder
Coder
Joined: Jul 2001
Posts: 808
Sicherheitslücken im Forensystem UBB.threads

Der Sicherheitsdienstleister Gulftech hat eine Reihe von Sicherheitslücken im populären Forensystem UBB.threads von InfoPop entdeckt. Laut Gulftech erlauben es verschiedene Fehler einem Angreifer, per Cross Site Scripting, SQL Injection und das Ausführen von beliebigen Dateien auf dem Rechner eines Forenteilnehmers sowohl dessen Daten auszulesen als auch die UBB.threads-Installation zu manipulieren.
Anzeige


Betroffen sind alle Versionen vor 6.5.2beta. Gultech empfiehlt zur Abhilfe ein sofortiges Update auf diese Vorabversion. Doch Infopop ist wesentlich zurückhaltender, da die neue Version unter anderem ein Update auf PHP 4.1 erfordert. Wegen der zahlreichen Änderungen geht der Hersteller von einer Beta-Phase von ein bis zwei Wochen aus. Angesichts der von Gulftech bereits angedeuteten Exploits für einige der Lücken könnte es in dieser Zeit jedoch schon echte Angriffe auf UBB.threads-Installationen und deren Benutzer geben. (je/c't) Quelle

Sponsored Links
landyphil #285662 06/26/2005 12:50 PM
Joined: Dec 2000
Posts: 1,471
Addict
Addict
Offline
Joined: Dec 2000
Posts: 1,471
Diese Sicherheitsprobleme habe ich bereits vor Monaten an Infopop gemeldet, unter anderem deswegen gibt es die neue Version.
Wer seine bestehende Installation absichern möchte, kann meinen Input validation mod verwenden, den ich bereits vor Wochen hier veröffentlicht habe:
https://www.ubbdev.com/forum/showflat.php/Cat/0/Number/127242/an/0/page/0#127242

-Fusion- #285663 06/27/2005 12:35 AM
Joined: Jul 2001
Posts: 808
Coder
Coder
Joined: Jul 2001
Posts: 808
Den Validator habe ich zu laufen, sicher ist sicher. Ich habe nämlich Probleme mit der 6.5.2b2 und bekomm sie nicht sauber zu laufen. Benutzer in bestimmten Gruppen haben plötzlich keinen Zugriff mehr auf ihr Forum. Muss wohl erst mal eine Testinstallation machen und gucken, woran das liegt.

-Fusion- #285664 06/27/2005 9:32 AM
Joined: Dec 1999
Posts: 158
Enthusiast
Enthusiast
Offline
Joined: Dec 1999
Posts: 158
das lese ich ja jetzt erst ... das ist seit Monaten bekannt??
mir war ja klar das gulftech das früher gemeldet haben muss, die beta2 sozusagen mit der Meldung forciert hat, heise bringt halt nur noch die Skriptkiddies auf den Plan.

Aber echt NULL feedback von Infopop, keine Warnung, nichts.
ich hoste momentan über 1,5 Millionen postings, da macht so etwas schon sauer, trotz regelmässiger backups ...

landyphil #285665 06/27/2005 9:45 AM
Joined: Mar 2000
Posts: 21,079
Likes: 3
I type Like navaho
I type Like navaho
Joined: Mar 2000
Posts: 21,079
Likes: 3
This is old news isn't it?


- Allen wavey
- What Drives You?
Sponsored Links
SurfMinister #285666 06/28/2005 4:48 AM
Joined: Dec 2000
Posts: 1,471
Addict
Addict
Offline
Joined: Dec 2000
Posts: 1,471
Wann Gulftech das gemeldet hat, kann ich nicht sagen. Mir war das allerdings aufgefallen und habe das an Infopop weitergereicht. Ihre Reaktionen machten zumindest den Eindruck, als müssten sie es da noch nicht.

Gulftech hat wohl bis zum Release der Beta gewartet und dann erst die Exploits veröffentlicht. Wie du in den Erläuterungen zum meinem Mod lesen kannst, habe ich keine genauen Anleitungen veröffentlicht, eben damit kein Scriptkiddie einfach was kaputtmachen kann. Das ist jetzt in der Tat anders.

Zum Gebahren von Infopop sag ich jetzt mal nichts. Sie haben wohl drauf spekuliert, dass es bis zur Final noch niemand veröffentlicht. Passt aber zur ihrer sonstigen Informationspolitik.


@Allen Well, gulftech released a detailed report of the securities issues. That one was mentioned on the largest german IT news-page. But the security issues aren't new, as you know, I discovered them and released a mod for them 2 months ago.

Astaran #311075 08/04/2006 6:20 PM
Joined: Jul 2001
Posts: 808
Coder
Coder
Joined: Jul 2001
Posts: 808
Dieser Thread ist zwar alt, aber ich denke eine kurzer Hinweis zur V6 ist an deiser Stelle gut aufgehoben um evt besitzer älterer Installationen noch Hinweise zu geben.

Alle UBB Threads Versionen bis einschließlich Version 6.5.4 haben einen oder mehrere große Lücken, für die Exploits veröffentlicht wurden. Die Boards werden im großen Stil über Google gesucht und mit zur Version passenden Exploit gehacked.

Bislang sind mir aus eigener Erfahrung dabei 2 Vorgehensweisen untergekommen. Die erste geht sehr rabiat zur Sache. Durch die Lücke wird ein Script eingeschleust und gleich ausgeführt, welches alle auf dem Server erreichbaren .php Files modifiziert. Das File wird um einen iframe erweiter, der dann meist Schadcode zum User nachlädt, wenn er einen ungepatchten Webbrowser benutzt. hier sollen Client PC's zu Zombie PC's für verschiedene Zwecke gemacht werden. Meist wird auf dem Server zugleich noch eine adminsitrative Backdoor installiert. Das aufräumen eines solchen befallenen servers ist Expertensache um sicherzustellen, das alles clean ist. Alle php Files müssen rückgesichert werden oder einzeln bearbeitert werden.

Die zweite vorgehensweise ist sehr viel Stiller. Ich habe hierbei wieder 2 verschiedene Dinge erlebt. Beim ersten fand ich auf einmal auf meinem Server außerhalb des Webroots neue Verzeichnisse vor mit einer Sammlung von Scripten. Der Server wird hier zum IRC Bot für verschiedene Aufgaben. Beim 2. Mal habe ich lediglich eine Performance verschlechterung des FTP Servers bemerkt und den Provider gebeten den Server mal zu prüfen und siehe da, es liefen gleich mehrere IRC bots, ohne das was für mich erkennbar gewesen wär. Scripte auf Bereiche eingeschleust, auf die nur der Admin Zugriff hat.

Mit dem Release von 6.5.5 wurden alle bekannten Lücken geschlossen. Fast alle basieren auf die Möglichkeit der Parameter übergabe wenn der Server mit register_globals=on läuft. Die 6.5.5 prüft hier nun den Input besser. Bislang sind keine neuen Exploits bekannt, was aber nicht heißen soll, das das Script nun sicher ist. Ich habe aber seit Mai 06 keine weiteren Hacks mehr erlebt, auch wenn es nach meinem Serverlog reichlich probiert wird.


Link Copied to Clipboard
Donate Today!
Donate via PayPal

Donate to UBBDev today to help aid in Operational, Server and Script Maintenance, and Development costs.

Please also see our parent organization VNC Web Services if you're in the need of a new UBB.threads Install or Upgrade, Site/Server Migrations, or Security and Coding Services.
Recommended Hosts
We have personally worked with and recommend the following Web Hosts:
Stable Host
bluehost
InterServer
Visit us on Facebook
Member Spotlight
Ruben Rocha
Ruben Rocha
Lutz,FL,USA
Posts: 253
Joined: January 2000
Forum Statistics
Forums63
Topics37,570
Posts293,915
Members13,848
Most Online5,166
Sep 15th, 2019
Today's Statistics
Currently Online
Topics Created
Posts Made
Users Online
Birthdays
Top Posters
AllenAyres 21,079
JoshPet 10,369
LK 7,394
Lord Dexter 6,708
Gizmo 5,829
Greg Hard 4,625
Top Posters(30 Days)
Top Likes Received
isaac 81
Gizmo 20
Brett 7
WebGuy 2
Morgan 2
Top Likes Received (30 Days)
None yet
The UBB.Developers Network (UBB.Dev/Threads.Dev) is ©2000-2022 VNC Web Services

 
Powered by UBB.threads™ PHP Forum Software 8.0.0
(Preview build 20221129)