Software für Diskussionsforen verrät Hashes von Passwörtern [Update]

Diskutiere Software für Diskussionsforen verrät Hashes von Passwörtern [Update] im Software Probleme Forum im Bereich Computerprobleme; Wer ein phpBB hat, für den sollte das hier interessant sein! Der Sicherheitsspezialist Rick Patel beschreibt in der Mailingliste...

  1. Robman

    Robman
    Administrator

    Dabei seit:
    04.12.2002
    Beiträge:
    5.028
    Zustimmungen:
    1
    Wer ein phpBB hat, für den sollte das hier interessant sein!


    Der Sicherheitsspezialist Rick Patel beschreibt in der Mailingliste Full-Disclosure eine Schwachstelle bei der Verarbeitung von Benutzereingaben in der Bulletin-Board-Software phpBB bis Version 2.0.5. Zum Testen der Schwachstelle wird in dem Advisory auch ein Perl-Skript aufgeführt.

    phpBB ist eine Open-Source-Lösung für eigene Bulletin Boards auf Unix- und Windowssystemen. Es bietet die Möglichkeit, Diskussionsforen zu eröffnen und zu betreiben. Das User- und Administrationsinterface ist webbasiert und einfach zu bedienen.

    phpBB basiert auf PHP und verwendet eine SQL-Datenbank. Eine Variable, die zur Auswahl von Foren dient, wird vom Benutzer an den Server übermittelt und ohne weitere Prüfung in einer Datenbankabfrage verwendet. Manipuliert man diese Variable, schafft man es durch SQL-Injection, eigene Befehle in die Datenbankabfrage einzuschleusen und auszuführen. In dem Advisory wird das Leck benutzt, um die in der Datenbank gespeicherten Passwörter für phpBB auszugeben. Diese sind zwar als MD5-Hash gespeichert, eine Brute-Force- oder Wörterbuch-Attacke mit einem Passwortcracker kann aber, --bei Verwendung von schwachen Passwörtern, schnell zum Erfolg führen. Im Gegensatz zu einer Online-Attacke lassen sich offline mehrere tausend Kombinationen pro Sekunde durchprobieren um einen identischen Hash-Wert und somit das richtige Passwort zu finden

    Ein Patch ist nicht verfügbar, jedoch eine Beschreibung zur Behebung des Sicherheitslecks
     
  2. Anzeige

    schau mal hier (hier klicken) an. Dort findet man viele Hilfestellungen.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
Thema:

Software für Diskussionsforen verrät Hashes von Passwörtern [Update]

Die Seite wird geladen...

Software für Diskussionsforen verrät Hashes von Passwörtern [Update] - Ähnliche Themen

  1. Windows Update Problem

    Windows Update Problem: Hallo ich habe 2 Server 2013Std. Beide laufen in einer Domäne. Mein Problem, der eine schreit nach Updates der andere nicht. Ich habe den zweiten...
  2. Wie stoppt man Windows 10 Auto Update?

    Wie stoppt man Windows 10 Auto Update?: Bitte führen Sie mich Schritt für Schritt, wie ich Windows 10 automatisch aktualisieren kann. Wann immer Update kommt mein Laptop zu...
  3. Eröffnung unseres Hardware Software Ladens

    Eröffnung unseres Hardware Software Ladens: Hallo an alle Mitgliedes des Modern Board Forums, Nächsten Monat werde ich meinen neuen Hardware Software Laden eröffnen. Dazu möchte ich eine...
  4. Win10 Update [This Driver cant release to failure]

    Win10 Update [This Driver cant release to failure]: Hallo zusammen Ich habe das Update von Windows 7 auf Windows 10 ausgeführt. Nun bekomme Ich folgende fehlermeldung: This Driver cant release to...
  5. Update kann nicht installiert werden

    Update kann nicht installiert werden: moin zusammen, habe mal vor tagen meinen rechner formatiert, da ich auf eine SSD als hauptfestplatte umgestiegen bin. der will jetzt irgendwie...
  1. Diese Seite verwendet Cookies um Inhalte zu personalisieren. Außerdem werden auch Cookies von Diensten Dritter gesetzt. Mit dem weiteren Aufenthalt akzeptierst du diesen Einsatz von Cookies.
    Information ausblenden