Software für Diskussionsforen verrät Hashes von Passwörtern [Update]

Diskutiere Software für Diskussionsforen verrät Hashes von Passwörtern [Update] im Software Probleme Forum im Bereich Computerprobleme; Wer ein phpBB hat, für den sollte das hier interessant sein! Der Sicherheitsspezialist Rick Patel beschreibt in der Mailingliste...

  1. Robman

    Robman
    Administrator

    Dabei seit:
    04.12.2002
    Beiträge:
    5.024
    Zustimmungen:
    0
    Wer ein phpBB hat, für den sollte das hier interessant sein!


    Der Sicherheitsspezialist Rick Patel beschreibt in der Mailingliste Full-Disclosure eine Schwachstelle bei der Verarbeitung von Benutzereingaben in der Bulletin-Board-Software phpBB bis Version 2.0.5. Zum Testen der Schwachstelle wird in dem Advisory auch ein Perl-Skript aufgeführt.

    phpBB ist eine Open-Source-Lösung für eigene Bulletin Boards auf Unix- und Windowssystemen. Es bietet die Möglichkeit, Diskussionsforen zu eröffnen und zu betreiben. Das User- und Administrationsinterface ist webbasiert und einfach zu bedienen.

    phpBB basiert auf PHP und verwendet eine SQL-Datenbank. Eine Variable, die zur Auswahl von Foren dient, wird vom Benutzer an den Server übermittelt und ohne weitere Prüfung in einer Datenbankabfrage verwendet. Manipuliert man diese Variable, schafft man es durch SQL-Injection, eigene Befehle in die Datenbankabfrage einzuschleusen und auszuführen. In dem Advisory wird das Leck benutzt, um die in der Datenbank gespeicherten Passwörter für phpBB auszugeben. Diese sind zwar als MD5-Hash gespeichert, eine Brute-Force- oder Wörterbuch-Attacke mit einem Passwortcracker kann aber, --bei Verwendung von schwachen Passwörtern, schnell zum Erfolg führen. Im Gegensatz zu einer Online-Attacke lassen sich offline mehrere tausend Kombinationen pro Sekunde durchprobieren um einen identischen Hash-Wert und somit das richtige Passwort zu finden

    Ein Patch ist nicht verfügbar, jedoch eine Beschreibung zur Behebung des Sicherheitslecks
     
  2. Anzeige

    schau dir mal diesen Ratgeber an. Dort findet man viele Hilfestellungen.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
Thema:

Software für Diskussionsforen verrät Hashes von Passwörtern [Update]

Die Seite wird geladen...

Software für Diskussionsforen verrät Hashes von Passwörtern [Update] - Ähnliche Themen

  1. Eröffnung unseres Hardware Software Ladens

    Eröffnung unseres Hardware Software Ladens: Hallo an alle Mitgliedes des Modern Board Forums, Nächsten Monat werde ich meinen neuen Hardware Software Laden eröffnen. Dazu möchte ich eine...
  2. Win10 Update [This Driver cant release to failure]

    Win10 Update [This Driver cant release to failure]: Hallo zusammen Ich habe das Update von Windows 7 auf Windows 10 ausgeführt. Nun bekomme Ich folgende fehlermeldung: This Driver cant release to...
  3. Update kann nicht installiert werden

    Update kann nicht installiert werden: moin zusammen, habe mal vor tagen meinen rechner formatiert, da ich auf eine SSD als hauptfestplatte umgestiegen bin. der will jetzt irgendwie...
  4. Prodbleme mit Grafik und Sound (nach Update?)

    Prodbleme mit Grafik und Sound (nach Update?): Hallo zusammen. Ich habe leider ein blödes Problem dem ich bisher selbst nciht auf die Schliche kommen konnte. Ich nutze das Programm huey um...
  5. Windows 7: Fehler beim konfigurieren der windows-updates

    Windows 7: Fehler beim konfigurieren der windows-updates: Hallo, gestern nach dem herunterfahren des PCS gab es ca. 190 updates zu installieren (Monatelang hab ich mich nicht darum gekümmert...), bis 164...