Software für Diskussionsforen verrät Hashes von Passwörtern [Update]

Dieses Thema im Forum "Software Probleme" wurde erstellt von Robman, 23.06.2003.

  1. Robman

    Robman
    Administrator

    Dabei seit:
    04.12.2002
    Beiträge:
    5.028
    Zustimmungen:
    0
    Wer ein phpBB hat, für den sollte das hier interessant sein!


    Der Sicherheitsspezialist Rick Patel beschreibt in der Mailingliste Full-Disclosure eine Schwachstelle bei der Verarbeitung von Benutzereingaben in der Bulletin-Board-Software phpBB bis Version 2.0.5. Zum Testen der Schwachstelle wird in dem Advisory auch ein Perl-Skript aufgeführt.

    phpBB ist eine Open-Source-Lösung für eigene Bulletin Boards auf Unix- und Windowssystemen. Es bietet die Möglichkeit, Diskussionsforen zu eröffnen und zu betreiben. Das User- und Administrationsinterface ist webbasiert und einfach zu bedienen.

    phpBB basiert auf PHP und verwendet eine SQL-Datenbank. Eine Variable, die zur Auswahl von Foren dient, wird vom Benutzer an den Server übermittelt und ohne weitere Prüfung in einer Datenbankabfrage verwendet. Manipuliert man diese Variable, schafft man es durch SQL-Injection, eigene Befehle in die Datenbankabfrage einzuschleusen und auszuführen. In dem Advisory wird das Leck benutzt, um die in der Datenbank gespeicherten Passwörter für phpBB auszugeben. Diese sind zwar als MD5-Hash gespeichert, eine Brute-Force- oder Wörterbuch-Attacke mit einem Passwortcracker kann aber, --bei Verwendung von schwachen Passwörtern, schnell zum Erfolg führen. Im Gegensatz zu einer Online-Attacke lassen sich offline mehrere tausend Kombinationen pro Sekunde durchprobieren um einen identischen Hash-Wert und somit das richtige Passwort zu finden

    Ein Patch ist nicht verfügbar, jedoch eine Beschreibung zur Behebung des Sicherheitslecks
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
Thema:

Software für Diskussionsforen verrät Hashes von Passwörtern [Update]

Die Seite wird geladen...

Software für Diskussionsforen verrät Hashes von Passwörtern [Update] - Ähnliche Themen

  1. PC-"Putz"-oder Bereinigungs-Software...ja oder nein ?

    PC-"Putz"-oder Bereinigungs-Software...ja oder nein ?: Hallo zusammen, Ich möchte nach dem Sinn oder der Notwendigkeit einer PC-Pflegesoftware. fragen. Lange Zeit hatte ich die Software von AVG in...
  2. WINDOWS 7 will nicht updaten

    WINDOWS 7 will nicht updaten: Hallo, ich habe WINDOWS 7 und taste Start => Alle Programme => Windows Update Windows Update-Fenster öffnet sich: "8 wichtige Updates sind...
  3. Windows update läuft...

    Windows update läuft...: Ich kämpfe seit längerer Zeit mit Windows update und langsam gehen mir die Ideen aus... Scheint ja ein häufiges Problem zu sein, aber Windows 10...
  4. Tipps für HR Software?

    Tipps für HR Software?: Hallo zusammen! Wir benötigen für unsere Firma eine gute Personalsoftware, die vor allem Kosten und Zeit sparen soll. Da ich mich in dem Bereich...
  5. Windows 10 Update

    Windows 10 Update: Hallo, Ich hab mir gestern ein neues Notebook von Asus gekauft für die Uni. Das Notebook hat eine Festplatte mit 28,3 GB. Eben bekam ich die...