Lücke in Forensoftware phpBB

In der beliebten Forensoftware phpBB ist eine Sicherheitslücke aufgetaucht. Angreifbar ist das optionale Mail2Forum-Modul.
Mit Hilfe eines Exploits können Angreifer das System kompromittieren. Ursache des Problems ist die fehlerhafte Verarbeitung des Parameters m2f_root_path. Hiervon sind vor allem die Skripte m2f_forum.php, m2f_mailinglist.php betroffen, mit denen sich beliebiger PHP-Code ausführen lässt. So kann ein Angreifer den Pfad m2f_root_path auf einen eigenen Server abändern.

Auf diese Weise kann er seinen schädlichen Quellcode auf dem verwundbaren phpBB-Server ausführen.

Wie häufig in solchen Fällen lässt sich diese Lücke nur ausnutzen, wenn die Option register_globals aktiv ist. Betroffen soll die Version Mail2Forum 1.2 sein. Ein offizieller Patch steht nicht zur Verfügung, Anwender sollten register_globals ausschalten oder den Quellcode des Moduls selbst editieren.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben