Software für Diskussionsforen verrät Hashes von Passwörtern [Update]

Diskutiere Software für Diskussionsforen verrät Hashes von Passwörtern [Update] im Software Probleme Forum im Bereich Computerprobleme; Wer ein phpBB hat, für den sollte das hier interessant sein! Der Sicherheitsspezialist Rick Patel beschreibt in der Mailingliste...

  1. Robman

    Robman
    Administrator

    Dabei seit:
    04.12.2002
    Beiträge:
    5.025
    Zustimmungen:
    0
    Wer ein phpBB hat, für den sollte das hier interessant sein!


    Der Sicherheitsspezialist Rick Patel beschreibt in der Mailingliste Full-Disclosure eine Schwachstelle bei der Verarbeitung von Benutzereingaben in der Bulletin-Board-Software phpBB bis Version 2.0.5. Zum Testen der Schwachstelle wird in dem Advisory auch ein Perl-Skript aufgeführt.

    phpBB ist eine Open-Source-Lösung für eigene Bulletin Boards auf Unix- und Windowssystemen. Es bietet die Möglichkeit, Diskussionsforen zu eröffnen und zu betreiben. Das User- und Administrationsinterface ist webbasiert und einfach zu bedienen.

    phpBB basiert auf PHP und verwendet eine SQL-Datenbank. Eine Variable, die zur Auswahl von Foren dient, wird vom Benutzer an den Server übermittelt und ohne weitere Prüfung in einer Datenbankabfrage verwendet. Manipuliert man diese Variable, schafft man es durch SQL-Injection, eigene Befehle in die Datenbankabfrage einzuschleusen und auszuführen. In dem Advisory wird das Leck benutzt, um die in der Datenbank gespeicherten Passwörter für phpBB auszugeben. Diese sind zwar als MD5-Hash gespeichert, eine Brute-Force- oder Wörterbuch-Attacke mit einem Passwortcracker kann aber, --bei Verwendung von schwachen Passwörtern, schnell zum Erfolg führen. Im Gegensatz zu einer Online-Attacke lassen sich offline mehrere tausend Kombinationen pro Sekunde durchprobieren um einen identischen Hash-Wert und somit das richtige Passwort zu finden

    Ein Patch ist nicht verfügbar, jedoch eine Beschreibung zur Behebung des Sicherheitslecks
     
  2. Anzeige

    schau dir mal diesen Ratgeber an. Dort findet man viele Hilfestellungen.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
Thema:

Software für Diskussionsforen verrät Hashes von Passwörtern [Update]

Die Seite wird geladen...

Software für Diskussionsforen verrät Hashes von Passwörtern [Update] - Ähnliche Themen

  1. Update kann nicht installiert werden

    Update kann nicht installiert werden: moin zusammen, habe mal vor tagen meinen rechner formatiert, da ich auf eine SSD als hauptfestplatte umgestiegen bin. der will jetzt irgendwie...
  2. Prodbleme mit Grafik und Sound (nach Update?)

    Prodbleme mit Grafik und Sound (nach Update?): Hallo zusammen. Ich habe leider ein blödes Problem dem ich bisher selbst nciht auf die Schliche kommen konnte. Ich nutze das Programm huey um...
  3. Windows 7: Fehler beim konfigurieren der windows-updates

    Windows 7: Fehler beim konfigurieren der windows-updates: Hallo, gestern nach dem herunterfahren des PCS gab es ca. 190 updates zu installieren (Monatelang hab ich mich nicht darum gekümmert...), bis 164...
  4. braucht PDF-Software Aktualisierungen?

    braucht PDF-Software Aktualisierungen?: Hallo, ich überlege mir gerade den PDF-XChange Editor zu kaufen. Ich benutze ihn bei der Arbeit und er macht einen soliden Eindruck und ist...
  5. Win7 64bit Update lässt sich nicht installieren

    Win7 64bit Update lässt sich nicht installieren: moin zusammen, mein rechner meckert jetzt die ganze zeit rum, dass ein 30kb update nicht installiert werden könne. habe mal nachglesen und da...