Sicherheitslücken

Hi,
ich mach mal nen Thread auf indem die aktuellen Sicherheitslücken die besonders BGs betreffen diskutiert (Lösungen) werden und gemeldet werden können.
Falls das nicht die richtige Stelle ist bitte verschieben bzw- falls nicht gewünscht bitte schließen.

Dies soll eine Hilfe sein, um besser gegen lästige Hacker Angriffe geschützt zu sein, welches vor allem bei echten Root Server sehr wichtig ist.

Aktuelle Sicherheitslücken:
phpBB bitte auf 2.0.11 upgraden da Versionen darunter gehackt werden können. Siehe:
http://packetstormsecurity.nl/0411-exploits/phpbb2011.txt
http://packetstormsecurity.nl/0411-exploits/phpbb.php.txt

PHP 4 bis einschließlich 4.3.9
PHP5 bis einschließlich 5.0.2
http://www.heise.de/newsticker/meldung/54320
aber dazu muss man sagen das heise nicht ganz mitkommt:
http://www.heise.de/security/news/foren/go.shtml?read=1&msg_id=7052185&forum_id=70707
Ich such dann mal besser die original Quellen
http://www.php.net/ChangeLog-4.php#4.3.10
http://www.php.net/

PHP KIT 1.6.03 bis 1.6.1 aktuelle Version ist leider 1.6.1 !
http://packetstormsecurity.nl/0411-exploits/phpkitSQLXSS.txt

Gefährdete Seiten:
mindestens eine von denen die ich hier als Link vertreten gesehen habe. Habe den Entwickler schon informiert.

P.S. Tipp schreibt man mit doppel P *auf den Unterforentitel schiel*

Ich hab einen Bug in der aktuellen 1er Apache Version gefunden was bestimmt auch BGs betreffen könnte. Man kann keine Scripte mehr als ca 30 Sekunden laufen lassen auch wenn man alle Limits hochgesetzt hat. Falls das Script austimet startet es sich mehrmals selbst. Der Bug ist mittlerweile aber Apache auch bekannt.
Ansonsten kann ich jedem raten Mailinglisten zu Abonnieren um über Updates auf dem neusten Stand zu bleiben.

Nur als Info: PHP 4.3.10 & 5.0.3 released! (Gestern) ^^

Ich finde die Idee von dem Thread hier echt gut. Wäre nett, wenn du das auf dem aktuellen Stand halten könntest.

also so langsam soltlen die meisten doch wohl die einfachen sicherheitsfunktionene wie (int), strip_tags und mysql_escape kennen.

wobei ich (int) extrem gerne bei id übergaben mag

@Gambler: Ich vermute stark, dass du irgendwo n fehler machst.
Denn ich verwende auf Apache 1 in diversen Versionen Scripts, welche 10, 20 minuten laufen. Fehlerfrei.
-> dürfte
@ woodworker: Wer meint Int seie ne Sicherheitsfunktion hat glaub was falsch verstanden *grins

Llamo diabolo wenn du richtig gelesen hättest, hättest du gesehn dass ich geschrieben hab das Apache mittlerweile den Bug kennt. Er steht in deren offiziellen Liste drin also glaub ich kaum das ich was falsch mache. Wir haben außerdem zum testen einfachste Codes benutzt die gar keine Fehler beinhalten können aufgrund ihrer einfachheit. Von dem Fehler war nur eine Version des Apache 1 betroffen. Ältere und neuere nicht.

Ja - das Problem besteht ja auch nur wenn ein Skript mehr als 30 Sekunden nix mehr ausgibt.

Schreibt man z.B. einen IRC Bot in PHP sollte man tunlichst darauf achten das der das Ping Pong ausgibt, sonst wird er beendet.

Schreibt man große Skripte mit Schleifen muss man da nen echo einbauen das irgenwas ausgibt a la echo'Hallo';

Wird nix ausgegeben beendet das Skript nach 30 sec - bzw wird beendet.

ehm sicher? Ich nutze Ping Pongs von knapp 4 minuten.

Gruss

Das ist zumindest meine Erfahrung damit.

Aber es muss das ping nicht nach 30sec auf dem Bildschirm stehen nur ausgegeben werden, d.h. meiner Erfahrung nach kann man die Zeit bis etwas auf dem Bildschirm steht nicht Messen und sagen dann hat die Ausgabe stattgefunden, das echo kommt häufig ehr und steht erst nach einiger weiter Zeit auch auf dem Schirm.

Das hat mit den Apache Timelimit Einstellungen zu tun wie oft man was ausgeben sollte.

Crafty:
Wenn ich schreibe, dass ich 4 Minuten Ping Pongs benutze...
Dann heist dass, dass der Server (sprich das PHP) nach 4 Minuten Idle n Ping Pong auslöst. Nichts anderes von wegen nicht sehen aber doch da sein.
-> ich als programmierer weiss doch wann etwas übertragen wird oder nicht???

Nochmals: habe Softwares im Einsatz (auf vielen Installationen) welche 4 minuten Idles aushalten. Problemlos
-> Safe Mode ist da natürlcih was anderes; aber weiderum kein bug da safe mode genau das verhindern soll...

Des weitern...

... nach kann man die Zeit bis etwas auf dem Bildschirm steht nicht Messen und sagen dann hat die Ausgabe stattgefunden...


Wenn du es nicht schafst die Daten dann auf dem Bildschirm anzuzeigen, wenn du sie angezeigt haben willst... dann solltest du dir ev. grundlegend was überlegen; da du ev. mehr als 1 fehler hast.

Gruss

Wichtige Sicherheitswarnung.

Wäre gut wenn ihr den Artikel genau lest, damit ihr euch Möglichkeiten ausdenkt soetwas zu vermeiden. Session Riding ist kein Session Hijacking!

Edit: Ich trottel hab wohl den Link vergessen. Haut mich.
http://www.heise.de/newsticker/meldung/54431

@ Time:
http://forum.onlinegame-agency.de/thread.php?threadid=778&sid=

Da haben wir schonmals darüber gequatscht (wer Thread einsicht haben will; es nicht hat, soll sich bei mir via PM melden).
Denke, das sollte kein Problem darstellen...
Ist einfach zu vermeiden, einfach mal den Grundgedanken "das könnt man ja auch noch machen" brauchts mal...

Gruss

joar über die problematik hat man sich schon gedanken gemacht. nunja irgendwie kann man indessen bgs auch als indikator für gwisse lücken nehmen *g*

So hier ein Interessanter Artikel aus dem PHP Mag zum Thema Web Security: www.php-mag.de/itr/online_artikel/psecom,id,396,nodeid,62.html

Mal wieder was brandaktuelles und interessantes.
Aber ich weiß nicht wie viele hier das CMS N/X benutzen, dass hier hauptsächlich betroffen ist.

Betroffen: N/X
Attacke: Defacing
Vermutlich durch eine ungefilterte Benutzereingabe in diesem CMS

Quelle:
http://www.heise.de/newsticker/meldung/54504

Neuster Exploit fürs phpBB 2.x mit php <= 4.3.9
scheint aber erstmal nur auf Windows Servern zu laufen. Trotzdem sollte man Updaten.
Quelle:
http://www.securityfocus.com/archive/1/384663/2004-12-13/2004-12-19/0
http://packetstormsecurity.nl/exploits20.html

Sorry für DoppelPost aber dies kommt von heute und das oben ist von gestern.

Betrifft mal wieder Vorgänger von phpBB 2.0.11

Ist keine direkte Gefahr aber es lustig wie so Sachen passiert sind und arbeiten.

http://www.heise.de/newsticker/meldung/54550

JETZT ist es aktuell.
Bedrohung: Santy Worm
Betroffen: phpBB < 2.0.11
Details: http://www.heise.de/newsticker/meldung/54612

Oh anscheinend hat der WUrm genug Nahrung:
http://www.heise.de/newsticker/meldung/54623

Achtung Internet Explorer User

Es gibt mehr als 100.000 Seiten die versuchen euch zu verseuchen
z.B. Alle diese Google Ergebnisse:
http://www.google.de/search?hl=de&q=site%3Azq1412jy.info&btnG=Suche&meta=
Mehr Details hier
http://www.heise.de/newsticker/meldung/54714

In Bezug zu "blonde Anke" [Aufbau zahlreiche Telnets]
- wie beschrieben hat IE XP SP2 keine eindeutige Verwundbarkeit, obwohl mir von 5 mal laden das Fenster einmal weggeschlossen wurde (einfach weg ); Anzeige der Seite vollständig (kein Abuse scheinbar)
- ein Öffnen im Firefox (XP) brachte einen Ladefehler bei mehreren Sekunden Volllast/Arbeit; Anzeige der Seite unvollständig (kein Abuse scheinbar)
- laut Bekannten zeigte mindestens der FF unter einem aktuellen Linux (fragt mich nicht welches) ebenfalls eine Fehlermeldung, lahmes Verhalten und abrupten Anstieg der Swapfilesize

ggf. bei Googlead-Nutzung eine Warnung rausgeben.

Leichte Entwarnung wegen den Google Sachen:
http://www.heise.de/newsticker/meldung/54734

Betroffen: PHP-Calendar alle Versionen
Art: include Problem
Details:
http://packetstormsecurity.nl/0412-exploits/phpcalendar.txt

Betroffen: fast alle PHP Skripte die externe Seiten includieren
Art: PHP Wurm - Pearl Skript
Details inkl. Wurm Code:
http://packetstormsecurity.nl/0412-exploits/PhpIncludeWorm.txt

---------
Update Santy Worm:
Funktioniert jetzt auch mit AOL und Yahoo Search Engines.
phpBB sollte eh dringenst upgedated werden.
Details: http://packetstormsecurity.nl/0412-advisories/SantyB.php.txt

Achtung angeblich gibt es einen neuen Wurm der auch bei gepatchten 2.0.11er Versionen funktioniert.
Wurm Code Hier: http://packetstormsecurity.nl/0412-exploits/phpbbworm2.tgz

Description:
New version of the phpBB worm that successfully works against a patched phpBB 2.0.11. The scripts in this tarball are the worm itself and the bot that is installed. Found by Herman Sheremetyev.
http://packetstormsecurity.nl/exploits50.html

-------------
Betroffen: phpMyChat 0.14.5
Art: Exploit erzeugt Admin Account
Details:
http://packetstormsecurity.nl/0412-exploits/pmc.pl.txt

der wurm der auch phpbb 2.0.11 angreifen soll, schaut aber nach ausnutzen der 2.0.10 highlightlücke aus. kann auch daher kommen das viele leute bereits infiziert waren als sie ihr board upgedatet haben und nun denken das es einen wurm gibt der das 2.0.11 attet.
zumindest auf full disclosure gab es entsprechende berichte, aber keine bestätigung das es geht.

Betroffen: MyBB Forum Paket
Art: MySQL Injection
Details:
http://packetstormsecurity.nl/0501-exploits/mybbSQL.txt

Betroffen: ImageMagick bis 6.1.8-8
Art: Heap Overflow
Details:
http://www.heise.de/newsticker/meldung/55241

@Timeout - das Betrifft aber nicht so ganz direkt BGs

und das hier ist keine SIcherheitslücke sondern nur das Resultat einer Fehlerbereinigung


Betrifft PHP 4.3.10 5.0.3 unserialize()
Art: Performance Problem

es gibt das phpbb indessen in version 2.0.12 was paar interessante bugs bereinigt

Nicht direkt BG-Programmierer, aber viele Clients:

http://www.heise.de/newsticker/meldung/56795

Details zu korrigierten Sicherheitslecks in Firefox 1.0.1

Firefox 1.0.1 herunterladen

Betroffen phpBB 2.0.12
Art Admin Rechte für jedermann

Lösung Update auf 2.0.13

Details: http://www.heise.de/newsticker/meldung/56866

//Edit:
Ich war schneller

http://www.heise.de/newsticker/meldung/56866

Erneut Lücke in phpBB.
Lösung:
Auf 2.0.13 aktualisieren

Lücken in PHPmyAdmin: http://www.heise.de/security/news/meldung/56857

Lösung: Updaten

Original von Crafty-Catcher
Betroffen phpBB 2.0.12
Art Admin Rechte für jedermann

Lösung Update auf 2.0.13

Details: http://www.heise.de/newsticker/meldung/56866

Für alle die wissen wollen, was es mit der bei heise.de beschriebenen Sicherheitslücke auf sich hat:
de2.php.net/manual/de/language.operators.comparison.php

Betroffen: ImageMagick bis 6.2.0-3 Beta
Behoben in: 6.2.0-3 Beta
Art: Format-String-Schwachstelle in Dateinamenhandling
Details: http://www.heise.de/newsticker/meldung/57034

Mal wieder nicht das Browsergame selbst, sondern Windows XP SP2:

Uralter LAND-Angriff funktioniert wieder im aktuellen Windows

http://www.heise.de/security/news/meldung/57199

Also alle Heimfirewall hochschotten, bis der Fehler bestätigt oder dementiert ist. Meiner Meinung nach ein richtiger Knaller.

Betroffen: ImageMagick kleiner 6.2.0-8
Behoben in: SUSE und Red Hat Updates, unbekannt ob 6.2.0-8 behoben
Art: Absturz/Codeausführung durch Aufruf manipulierter PSD,TIFF,SGI Bilder
Details: http://www.heise.de/newsticker/meldung/57888

Original von TheUndeadable
Mal wieder nicht das Browsergame selbst, sondern Windows XP SP2:

Uralter LAND-Angriff funktioniert wieder im aktuellen Windows

http://www.heise.de/security/news/meldung/57199

Also alle Heimfirewall hochschotten, bis der Fehler bestätigt oder dementiert ist. Meiner Meinung nach ein richtiger Knaller.

Hmmm... da DoS gegen Clients keinen Sinn macht. Und ein Server (da Router davor) nicht davon betroffen sein sollte...
Denke, ist kein Problem.

Generell sind Mailinglisten die bessere Lösung, aber wenn man sich ein Tool/System neu anschaut sehr hilfreiche Übersichten auf folgender Seite:

www.secunia.com

Ich hab bisher alles was mich interessiert hat dort gefunden.

Mal wieder was Clientseitiges:

http://www.heise.de/newsticker/meldung/61350

IE 6 in aktueller Version voll angreifbar. Am besten momentan nicht nutzen

Und was serverseitiges:

Das gute phpBB-Forum hat mal wieder eine Lücke gefunden. Patches finden sich auf der Website.

Wie das SANS Internet Storm Center berichtet, rüsten sich Cracker zum Angriff auf phpBB-Foren in Versionen < 2.0.16.

Da im Moment außerdem Lücken in einem PHP-Modul (das phpBB nicht nutzt) sowie in einem Teil der Java-Implementierung von Microsoft kursieren, befürchtet das ISC, das Cracker zu einem generellen Großschlag ausholen könnten.

Daher raten wir allen phpBB-Administratoren, so schnell wie möglich auf 2.0.16 upzudaten bzw. zumindest den Hotfix aus www.phpbb.de/viewtopic.php?t=91116 einzuspielen (es ist eine Zeile in der viewtopic.php zu ändern).

Gute Nacht und einen guten Start in die Woche wünscht Sascha Carlin aka itst phpBB.de - Administrator

maaann bin ich froh endlich von phpBB weg zu sein

http://www.heise.de/security/news/meldung/61281

Virenscanner ClamAV absturzgefährdet




fals jemand das ding auf seinem server laufen hat am besten abstellen

hate leztens deswegen nen komplet lamgelegten server -_- vom performens gewin garnicht zu reden

ICh stell ihn mal zeitweise aus, bis ichs mir angesehen hab,...

http://support.microsoft.com/?kbid=903235

Patch gegen die obengenannte Sicherheitslücke. Die MS Java VM wird einfach deaktiviert. Diese wird von MS sowieso nicht mehr genutzt und ist ein Überbleibsel aus der Zeit vor Win XP SP 2.

http://packetstormsecurity.org/filedesc/php2016.txt.html
phpBB 2.0.16
Cross Site Scripting

Da meines Wissens mindestens einer hier punBB nutzt:

Forensoftware punBB schließt Sicherheitslücken (1.2.6, 2 kritische)
http://www.heise.de/security/news/meldung/61575

Original von TheUndeadable
Da meines Wissens mindestens einer hier punBB nutzt:

Forensoftware punBB schließt Sicherheitslücken (1.2.6, 2 kritische)
http://www.heise.de/security/news/meldung/61575

die sind ja schon bischen älter

phpBB aktuelle Version (eventuell):

http://www.addict3d.org/index.php?page=viewarticle&type=security&ID=4439

@TheUndeadable, hat doch schon Crafty-Catcher gepostet, ist das selbe problem

@HSINC: Danke, alles klar, also doch nicht evtl. Wobei ich russische Seiten nicht lesen kann und auch die Möglichkeit, wie man das Problem patchen kann finde ich nicht auf der obengenannten URL

@TheUndeadable, ok stimmt, wegen lösung ist dein link besser

Für alle Windows-Server mit Terminal-Diensten zur Fernwartung:

"Neustart aus dem Netz dank Windows Fernwartung"

http://www.heise.de/newsticker/meldung/61784

"[...] Die Redmonder gehen davon aus, dass die Lücke nur einen Denial of Service erlaubt, eingeschleusten Code auszuführen halten sie nicht für möglich. [...]"

Als Info: Das Problem mit dem Windows Terminal Server wurde mit dem letzten Patchday behoben.


Linux Kernel 2.6.8:

http://www.heise.de/newsticker/meldung/63063

SNMP-Pakete lassen Linux abstürzen. Dieses Problemt tritt scheinbar nur bei dem Kernel 2.6.8 auf.

Und nochmals die typische LAMP-Kombination:

http://www.heise.de/newsticker/meldung/63067

Schwachstelle in populärer Regular-Expression-Bibliothek.

Die PCRE bis Version 6.1 ist betroffen. Aktuell ist die Version 6.3. Allerdings ist nicht immer sicher, dass die aktuelle PCRE-Version in dem jeweiligen Paket eingebunden ist. Aktualisierte Paket werden, wie immer, in Kürze verfügbar sein.

http://www.golem.de/0511/41341.html


Mal wieder die doofen Reg_Globals

phpBB Version 2.0.17

http://www.heise.de/newsticker/meldung/65568

Sony CDs
http://www.heise.de/newsticker/meldung/65602

PHP 4.4.1 kann Anwendungen lahm legen
http://www.heise.de/newsticker/meldung/65834

Die kürzlich zum Schließen mehrerer Sicherheitslücken veröffentlichte PHP-Version 4.4.1 enthält einen Fehler, durch den PHP-Programme unter Umständen hängen bleiben können. Betroffen von dem in der Fehlerdatenbank unter der ID #35067 geführten Bug sind die zur Verarbeitung von Arrays genutzten Funktionen next(), prev() und reset(), sofern der Funktionsparameter keinen vollwertigen Array referenziert. Anzeige

FRICKEL, FRICKEL

EDIT:
Von einem Downgrade auf Version 4.4.0, in der das Problem nicht auftritt, ist auf Grund der bekannten Sicherheitslücken aber in der Regel abzuraten

soweit ich weiss klappt das auch mit php 5.x versionen und dem eaccelerator, das man dadurch scripte killen kann.

http://www.heise.de/newsticker/meldung/67006

"Der Linux-Wurm Linux/Elxbot nutzt eine kürzlich gemeldete Schwachstelle im Mambo-Content-Management-System, um Server zu infizieren und sich dort einzunisten. "

Auf Version 4.5.3 updaten.

http://www.heise.de/newsticker/meldung/71030

Bot registriert sich in mehreren tausend phpBB-Foren

www.heise.de/newsticker/meldung/73872
Lücke in DokuWiki

GD-Lib
www.golem.de/0606/45788.html

phpBB (auf 2.0.21 aktualisieren)

phpBB register_globals ausschalten da kein Patch verfügbar.
www.heise.de/newsticker/meldung/75611

www.heise.de/newsticker/meldung/76069
"Betroffen sind alle Entwicklungszweige von Apache. Die neuen Versionen 1.3.37, 2.0.59 und 2.2.3 beheben den Fehler. "

> www.heise.de/newsticker/meldung/90697/from/atom10
Patch in PHP 5.2.3 unwirksam
"Die Anfang des Monats erschienene PHP-Version 5.2.3 sollte zwar eine Sicherheitslücke in der Funktion chunk_split() beseitigen, nach Angaben des PHP-Sicherheitsspezialisten und Mit-Initiator des Month of PHP Bugs Stefan Esser ist dies aber nicht der Fall. Laut Esser war der ursprüngliche Fix nicht nur kaputt, sondern auch mehr oder minder Blödsinn [...]"

Nach dem Apache ist der Lighty dran:
www.heise.de/newsticker/meldung/95825/from/atom10
"Ein Buffer Overflow im mod_fastcgi-Modul des schlanken Open-Source-Webservers lighttpd gefährdet in Zusammenhang mit PHP die Sicherheit von Installationen. Angreifer können durch das Senden manipulierter Header an den Server eigenen Code einschleusen und mit den Rechten von lighttpd ausführen. "

Die Version 1.2.1 von FreeSSHD unter XP und Vista ist im Moment aufgrund eines Sicherheitslochs gefährdet.
Quelle: www.milw0rm.com/exploits/5751
Soweit ich sehen kann, gibt es im Moment noch keine Lösung vom Hersteller.
Schaltet am besten FreeSSHD unter XP / Vista erst einmal ab und wartet auf den Bugfix vom Hersteller.

Sicherheitslücken
Den Thread fand ich immer ganz toll. Dort hat man alle Lücken auf einem Punkt

Kannte ich nicht. Der Thread ist wohl nicht Sticky

Die Version 1.2.1 von FreeSSHD unter XP und Vista ist im Moment aufgrund eines Sicherheitslochs gefährdet.
Quelle: www.milw0rm.com/exploits/5751
Soweit ich sehen kann, gibt es im Moment noch keine Lösung vom Hersteller.
Schaltet am besten FreeSSHD unter XP / Vista erst einmal ab und wartet auf den Bugfix vom Hersteller.

Pufferüberlauf in Textverabeitungsbibliothek PCRE
Betroffene Produkte: glibc, PHP, Apache, Postfix, Exim4, KDE und weitere noch nicht gemeldete...
Quelle: www.heise.de/security/Pufferueberlauf-in-Textverabeitungsbibliothek-PCRE--/news/meldung/110451