Software für Diskussionsforen verrät Hashes von Passwörtern [Update]

Diskutiere Software für Diskussionsforen verrät Hashes von Passwörtern [Update] im Software Probleme Forum im Bereich Computerprobleme; Wer ein phpBB hat, für den sollte das hier interessant sein! Der Sicherheitsspezialist Rick Patel beschreibt in der Mailingliste...

  1. Robman

    Robman
    Administrator

    Dabei seit:
    04.12.2002
    Beiträge:
    5.030
    Zustimmungen:
    0
    Wer ein phpBB hat, für den sollte das hier interessant sein!


    Der Sicherheitsspezialist Rick Patel beschreibt in der Mailingliste Full-Disclosure eine Schwachstelle bei der Verarbeitung von Benutzereingaben in der Bulletin-Board-Software phpBB bis Version 2.0.5. Zum Testen der Schwachstelle wird in dem Advisory auch ein Perl-Skript aufgeführt.

    phpBB ist eine Open-Source-Lösung für eigene Bulletin Boards auf Unix- und Windowssystemen. Es bietet die Möglichkeit, Diskussionsforen zu eröffnen und zu betreiben. Das User- und Administrationsinterface ist webbasiert und einfach zu bedienen.

    phpBB basiert auf PHP und verwendet eine SQL-Datenbank. Eine Variable, die zur Auswahl von Foren dient, wird vom Benutzer an den Server übermittelt und ohne weitere Prüfung in einer Datenbankabfrage verwendet. Manipuliert man diese Variable, schafft man es durch SQL-Injection, eigene Befehle in die Datenbankabfrage einzuschleusen und auszuführen. In dem Advisory wird das Leck benutzt, um die in der Datenbank gespeicherten Passwörter für phpBB auszugeben. Diese sind zwar als MD5-Hash gespeichert, eine Brute-Force- oder Wörterbuch-Attacke mit einem Passwortcracker kann aber, --bei Verwendung von schwachen Passwörtern, schnell zum Erfolg führen. Im Gegensatz zu einer Online-Attacke lassen sich offline mehrere tausend Kombinationen pro Sekunde durchprobieren um einen identischen Hash-Wert und somit das richtige Passwort zu finden

    Ein Patch ist nicht verfügbar, jedoch eine Beschreibung zur Behebung des Sicherheitslecks
     
  2. Anzeige

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
Thema:

Software für Diskussionsforen verrät Hashes von Passwörtern [Update]

Die Seite wird geladen...

Software für Diskussionsforen verrät Hashes von Passwörtern [Update] - Ähnliche Themen

  1. Treiber updaten

    Treiber updaten: Hallo, ich habe mich mal dazu aufgerappelt meinen PC aufzufrischen, anfangen wollte ich mit den Treibern doch weiß nicht wie ich herausfinden...
  2. Radeon R9 270x update geht nicht

    Radeon R9 270x update geht nicht: Moinsen, Mein AMD Programm hat für meine Graka nen Update am start, kann dies aber nicht installieren. (siehe anhang) woran liegt das?
  3. PC-"Putz"-oder Bereinigungs-Software...ja oder nein ?

    PC-"Putz"-oder Bereinigungs-Software...ja oder nein ?: Hallo zusammen, Ich möchte nach dem Sinn oder der Notwendigkeit einer PC-Pflegesoftware. fragen. Lange Zeit hatte ich die Software von AVG in...
  4. WINDOWS 7 will nicht updaten

    WINDOWS 7 will nicht updaten: Hallo, ich habe WINDOWS 7 und taste Start => Alle Programme => Windows Update Windows Update-Fenster öffnet sich: "8 wichtige Updates sind...
  5. Windows update läuft...

    Windows update läuft...: Ich kämpfe seit längerer Zeit mit Windows update und langsam gehen mir die Ideen aus... Scheint ja ein häufiges Problem zu sein, aber Windows 10...