Software für Diskussionsforen verrät Hashes von Passwörtern [Update]

Diskutiere Software für Diskussionsforen verrät Hashes von Passwörtern [Update] im Software Probleme Forum im Bereich Computerprobleme; Wer ein phpBB hat, für den sollte das hier interessant sein! Der Sicherheitsspezialist Rick Patel beschreibt in der Mailingliste...

  1. Robman

    Robman
    Administrator

    Dabei seit:
    04.12.2002
    Beiträge:
    5.028
    Zustimmungen:
    1
    Wer ein phpBB hat, für den sollte das hier interessant sein!


    Der Sicherheitsspezialist Rick Patel beschreibt in der Mailingliste Full-Disclosure eine Schwachstelle bei der Verarbeitung von Benutzereingaben in der Bulletin-Board-Software phpBB bis Version 2.0.5. Zum Testen der Schwachstelle wird in dem Advisory auch ein Perl-Skript aufgeführt.

    phpBB ist eine Open-Source-Lösung für eigene Bulletin Boards auf Unix- und Windowssystemen. Es bietet die Möglichkeit, Diskussionsforen zu eröffnen und zu betreiben. Das User- und Administrationsinterface ist webbasiert und einfach zu bedienen.

    phpBB basiert auf PHP und verwendet eine SQL-Datenbank. Eine Variable, die zur Auswahl von Foren dient, wird vom Benutzer an den Server übermittelt und ohne weitere Prüfung in einer Datenbankabfrage verwendet. Manipuliert man diese Variable, schafft man es durch SQL-Injection, eigene Befehle in die Datenbankabfrage einzuschleusen und auszuführen. In dem Advisory wird das Leck benutzt, um die in der Datenbank gespeicherten Passwörter für phpBB auszugeben. Diese sind zwar als MD5-Hash gespeichert, eine Brute-Force- oder Wörterbuch-Attacke mit einem Passwortcracker kann aber, --bei Verwendung von schwachen Passwörtern, schnell zum Erfolg führen. Im Gegensatz zu einer Online-Attacke lassen sich offline mehrere tausend Kombinationen pro Sekunde durchprobieren um einen identischen Hash-Wert und somit das richtige Passwort zu finden

    Ein Patch ist nicht verfügbar, jedoch eine Beschreibung zur Behebung des Sicherheitslecks
     
  2. Anzeige

Thema:

Software für Diskussionsforen verrät Hashes von Passwörtern [Update]

Die Seite wird geladen...

Software für Diskussionsforen verrät Hashes von Passwörtern [Update] - Ähnliche Themen

  1. Scannauflösung OCR Software

    Scannauflösung OCR Software: Hallo! Ich bin auf der Suche nach einem Scanner, da mein alter Scanner eine viel zu langsame Scanngeschwindigkeit aufweist. Ich brauch keine hohe...
  2. Windows anti piracy update

    Windows anti piracy update: Hey Leute, unter Windows XP & Windows 7, gab es ein explizietes Update (für Win 7 KB971033) welches illegal erworbene Windows Versionen erkannte....
  3. Downloaden von Software - Übersicht?

    Downloaden von Software - Übersicht?: Hallo zusammen, ich suche nach einer kompakten und übersichtlichen Website um Software auf meinen neuen PC herunterladen zu können. Das ständige...
  4. Windows Update Problem

    Windows Update Problem: Hallo ich habe 2 Server 2013Std. Beide laufen in einer Domäne. Mein Problem, der eine schreit nach Updates der andere nicht. Ich habe den zweiten...
  5. Wie stoppt man Windows 10 Auto Update?

    Wie stoppt man Windows 10 Auto Update?: Bitte führen Sie mich Schritt für Schritt, wie ich Windows 10 automatisch aktualisieren kann. Wann immer Update kommt mein Laptop zu...
  1. Diese Seite verwendet Cookies um Inhalte zu personalisieren. Außerdem werden auch Cookies von Diensten Dritter gesetzt. Mit dem weiteren Aufenthalt akzeptierst du diesen Einsatz von Cookies.
    Information ausblenden