Security phpBB 2.0.14

Ronald Kools · Bericht door **Ronald Kools** » 20 apr 2005, 09:55

Ik kwam op Security Focus de volgende "vulnerabilities" tegen. Kan iemand me met zekerheid zeggen of deze in versie 2.0.14 allemaal zijn opgelost? Volgens de SF site is het t/m 2.0.13 in ieder geval nog onveilig.

> 69. PHPBB2 Plus GroupCP.PHP Cross-Site Scripting Vulnerability
> BugTraq ID: 13149
> Remote: Yes
> Date Published: Apr 13 2005
> Relevant URL: http://www.securityfocus.com/bid/13149
> Summary:
> phpBB2 Plus is affected by a cross-site scripting
> vulnerability. This issue is due to a failure in the
> application to properly sanitize user-supplied input.
>
> An attacker may leverage this issue to have arbitrary script
> code executed in the browser of an unsuspecting user. This
> may facilitate the theft of cookie-based authentication
> credentials as well as other attacks.
>
> 70. PHPBB2 Plus Index.PHP Multiple Cross-Site Scripting Vulnerab...
> BugTraq ID: 13150
> Remote: Yes
> Date Published: Apr 13 2005
> Relevant URL: http://www.securityfocus.com/bid/13150
> Summary:
> phpBB2 Plus is affected by multiple cross-site scripting
> vulnerabilities. These issues are due to a failure in the
> application to properly sanitize user-supplied input.
>
> An attacker may leverage these issues to have arbitrary
> script code executed in the browser of an unsuspecting user.
> This may facilitate the theft of cookie-based authentication
> credentials as well as other attacks.
>
> These issues affect phpBB2 Plus version 1.52 and earlier.
>
> 71. PHPBB2 Plus Portal.PHP Multiple Cross-Site Scripting Vulnera...
> BugTraq ID: 13151
> Remote: Yes
> Date Published: Apr 13 2005
> Relevant URL: http://www.securityfocus.com/bid/13151
> Summary:
> phpBB2 Plus is affected by multiple cross-site scripting
> vulnerabilities. These issues are due to a failure in the
> application to properly sanitize user-supplied input.
>
> An attacker may leverage these issues to have arbitrary
> script code executed in the browser of an unsuspecting user.
> This may facilitate the theft of cookie-based authentication
> credentials as well as other attacks.
>
> These issues affect phpBB2 Plus version 1.52 and earlier.
>
> 72. PHPBB2 Plus ViewForum.PHP Cross-Site Scripting Vulnerability
> BugTraq ID: 13152
> Remote: Yes
> Date Published: Apr 13 2005
> Relevant URL: http://www.securityfocus.com/bid/13152
> Summary:
> phpBB2 Plus is affected by a cross-site scripting
> vulnerability. This issue is due to a failure in the
> application to properly sanitize user-supplied input.
>
> An attacker may leverage this issue to have arbitrary script
> code executed in the browser of an unsuspecting user. This
> may facilitate the theft of cookie-based authentication
> credentials as well as other attacks.
>
> 73. PHPBB2 Plus ViewTopic.PHP Cross-Site Scripting Vulnerability
> BugTraq ID: 13153
> Remote: Yes
> Date Published: Apr 13 2005
> Relevant URL: http://www.securityfocus.com/bid/13153
> Summary:
> phpBB2 Plus is affected by a cross-site scripting
> vulnerability. This issue is due to a failure in the
> application to properly sanitize user-supplied input.
>
> An attacker may leverage this issue to have arbitrary script
> code executed in the browser of an unsuspecting user. This
> may facilitate the theft of cookie-based authentication
> credentials as well as other attacks.

Stef · Bericht door **Stef** » 20 apr 2005, 11:36

Bij de laatste versie van phpBB zijn alle bij phpBB.com bekende bugs gefixed.

Hier word wel gesproken over phpBB2 Plus en niet over phpBB, ik denk wel dat er na .14 een nieuwe versie is uitgebracht voor Plus. Dus daar moet je ook gewoon updaten naar de laatste versie.

Ronald Kools · Bericht door **Ronald Kools** » 20 apr 2005, 11:55

Klopt... er staat phpBB Plus. Maar als je op die links klikt die erbij staan zie je dan er ook het volgende staat:

vulnerable

phpBB2 phpBB2 Plus 1.5
phpBB2 phpBB2 Plus 1.52
+ phpBB Group phpBB 2.0.12
+ phpBB Group phpBB 2.0.13

Of is phpBB Group phpBB ook wat anders?

Aangezien het op 13 april is gepubliceerd en op 16 april de update kwam ben ik dus wel benieuwd of al deze zaken in die update zijn meegenomen.

AarClay · Bericht door **AarClay** » 22 apr 2005, 19:18

Ronald Kools schreef:Klopt... er staat phpBB Plus. Maar als je op die links klikt die erbij staan zie je dan er ook het volgende staat:

vulnerable

phpBB2 phpBB2 Plus 1.5
phpBB2 phpBB2 Plus 1.52
+ phpBB Group phpBB 2.0.12
+ phpBB Group phpBB 2.0.13

Of is phpBB Group phpBB ook wat anders?

Aangezien het op 13 april is gepubliceerd en op 16 april de update kwam ben ik dus wel benieuwd of al deze zaken in die update zijn meegenomen.

Check de footer van dit forum, en gij zult zien

.

Ronald Kools · Bericht door **Ronald Kools** » 22 apr 2005, 23:32

Ok... dat vermoeden had ik al.

Maar ik heb nog niet echt een sluitend antwoord gezien op de veiligheids-issues en aangezien 2.0.14 niet genoemd wordt bij "not vulnerable" vraag ik me af of ze die al hebben getest...

Stef · Bericht door **Stef** » 23 apr 2005, 09:10

Ik denk dat je daar maar van uit moet gaan, áls het kritiek was dan was er nu al 2.0.15 uitgekomen.

mosymuis · Bericht door **mosymuis** » 23 apr 2005, 21:20

En zelfs in .14 zitten geen kritieke fouten. In de regel is .13 onvelig, in de praktijk niet. Alles van vóór .13 is tegenwoordig wél zeer onveilig.

jh0nny · Bericht door **jh0nny** » 23 apr 2005, 22:24

mosymuis schreef:En zelfs in .14 zitten geen kritieke fouten.

Dus ik hoef niet meer te updaten in de toekomst?

mosymuis · Bericht door **mosymuis** » 23 apr 2005, 22:52

jh0nny schreef:
mosymuis schreef:En zelfs in .14 zitten geen kritieke fouten.
Dus ik hoef niet meer te updaten in de toekomst?

Dat moet je vooral niet meer doen, nee.

Maar zonder gein, zelfs mijn eigen forums heb ik nog niet geupdate, iets uitzonderlijks omdat ik er normaal binnen een paar uur bij ben. Tijdgebrek aan de ene kant, geen noodzaak aan de andere, omdat ik de updates altijd goed bestudeer. 2.0.14 is meer een algemene update om enkele kleine openstaande foutjes te lappen, en niet zo zeer een kritische, zoals phpBB.com zelf ook al aangeeft.

Maar nu spreek ik dus wel voor mezelf, als phpBB.nl stafflid zal ik altijd aanmoedigen om up te graden. Waarom? Omdat het forumsysteem dan geen blaam treft, mocht er onverhoopt toch iets mis gaan met de voorgaande release. Daarnaast bespaart het ieder moeite om up te graden naar een mogelijke 2.0.15. Als je updates op gaat sparen verlies je de motivatie op een moment dat het wél dringend nodig is om de software bij te werken.

Ronald Kools · Bericht door **Ronald Kools** » 23 apr 2005, 23:05

Ok... maar dat is dus precies waarom ik bezorgd ben.

2.0.14 is meer een algemene update om enkele kleine openstaande foutjes te lappen, en niet zo zeer een kritische, zoals phpBB.com zelf ook al aangeeft.

Als het geen echte spectaculaire update is, dan covert ie dus waarschijnlijk ook niet de openstaande gaten waar Security Focus het over heeft.

De reden voor mijn gezaag: we hebben nu 9 phpBB forums draaien en gezien de aard van ons bedrijf, liggen we nogal in de "vuurlinie" (vraag anders maar even na bij Bart, die is momenteel oa. voor ons met een leuk auto moderatie script bezig

). De vorige keer waren we net te laat met updaten en hadden we de eerste hackers al op de server. Zoals je snapt willen we dat niet nog een keer.

Stef · Bericht door **Stef** » 23 apr 2005, 23:09

Als de Bart die je bedoelt Bart van Bragt is, dan kun je bij hem navragen of deze bugs zijn behandelt, mij lijkt het wel. Maar ik denk dat Bart het zeker weet.

En als je op de hoogte blijft van de updates, via het administratie paneel, dan is de kans relatief klein dat je nog een keer gehacked word.
Meestal is het pas ná dat phpBB een nieuwe versie heeft uitgebracht dat mensen de nog niet up-to-date versies gaan hacken.

Ronald Kools · Bericht door **Ronald Kools** » 23 apr 2005, 23:20

Die Bart is het ja... maar ik ga em niet bij iedere security melding lastig vallen met mailtjes, daar leek me dit forum een beter middel voor.

Wat betreft dat hacken heb je gelijk, meestal zijn het scriptkiddies die gewoon alles afgaan om het te "proberen".

mosymuis · Bericht door **mosymuis** » 23 apr 2005, 23:23

Ronald Kools schreef:
2.0.14 is meer een algemene update om enkele kleine openstaande foutjes te lappen, en niet zo zeer een kritische, zoals phpBB.com zelf ook al aangeeft.
Als het geen echte spectaculaire update is, dan covert ie dus waarschijnlijk ook niet de openstaande gaten waar Security Focus het over heeft.

Neem van mij aan dat alle openstaande bugs op SecurityFocus in de standaard phpBB uitgave gedicht zijn, zeker de kritische. Het phpBB team is hier heel zorgvuldig in.

Daarnaast denk ik dat je veel van de "bugs" op SecurityFocus overschat, veelal zijn het dubbele entry's van dezelfde fouten, en worden de risico's nogal eens aangedikt om de hack belangrijker te doen lijken. Dit is niet objectief.

Stef · Bericht door **Stef** » 23 apr 2005, 23:26

Ronald Kools schreef:Die Bart is het ja... maar ik ga em niet bij iedere security melding lastig vallen met mailtjes, daar leek me dit forum een beter middel voor.

Klopt, maar wij hebben het meestal ook van horen.
Als je toch elke dag je mail checkt - ik lees dat het over een bedrijf gaat, dan neem ik aan dat je dat dus doet - dan doe je er ook slim aan om je aan te melden bij de nieuwsbrief en ben je gelijk op de hoogte.

Maar goed dat geeft nog geen antwoord op je vraag.

Ronald Kools · Bericht door **Ronald Kools** » 23 apr 2005, 23:33

Ik ben uiteraard ingeschreven op de nieuwsbrief.

Maar ik had deze update naar 2.0.14 dus al ongeveer een maand geleden, er gaat dus best wat tijd overheen. Maw. achter de schermen kan er nav. de issues waarmee ik deze thread opende best hard aan 2.0.15 gewerkt worden...

Daarnaast denk ik dat je veel van de "bugs" op SecurityFocus overschat, veelal zijn het dubbele entry's van dezelfde fouten, en worden de risico's nogal eens aangedikt om de hack belangrijker te doen lijken. Dit is niet objectief.

Dat had ik ook al gemerkt ja... er lijkt een soort anti-phpBB stemming te heersen daar.

Stef · Bericht door **Stef** » 23 apr 2005, 23:36

Ronald Kools schreef:Maar ik had deze update naar 2.0.14 dus al ongeveer een maand geleden, er gaat dus best wat tijd overheen. Maw. achter de schermen kan er nav. de issues waarmee ik deze thread opende best hard aan 2.0.15 gewerkt worden...

Grote kans, maar goed als niemand er van weet is het dus wel vrij veilig.

mosymuis · Bericht door **mosymuis** » 23 apr 2005, 23:40

Ronald Kools schreef:
Daarnaast denk ik dat je veel van de "bugs" op SecurityFocus overschat, veelal zijn het dubbele entry's van dezelfde fouten, en worden de risico's nogal eens aangedikt om de hack belangrijker te doen lijken. Dit is niet objectief.
Dat had ik ook al gemerkt ja... er lijkt een soort anti-phpBB stemming te heersen daar.

Niet zozeer anti-phpBB, maar anti-alles. Het is er een sport de meeste en beste bugs op te duikelen in de populairste software, dus allicht is phpBB dan een gewild doel. Zodra ze er dan weer 1 vinden schreeuwen ze dat luid van de daken...

Ronald Kools · Bericht door **Ronald Kools** » 07 mei 2005, 22:36

Hm, misschien was het toch wel iets serieus...

http://www.phpbb.nl/nieuws.php?news_id=19442

Stef · Bericht door **Stef** » 07 mei 2005, 22:45

Maar niet die daar beschreven staan, maar goed, zo te zien was deze bug al wat langer bekend aangezien de update nog uitgebreid is met andere aanpassingen.

Verder moet je die in dat bericht niet overnemen, daar ging iets verkeerd met HTML entities. Dus gewoon die op phpBB.com te vinden is.

Ronald Kools · Bericht door **Ronald Kools** » 07 mei 2005, 23:41

Yep, kep dat 2e "correctie-mailtje" ook al ontvangen.