Warnung! Kritische Sicherheitslücke im PHP Dienst!

Hier die Newsecke (Kein Support!)
Antworten
Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Warnung! Kritische Sicherheitslücke im PHP Dienst!

Beitrag von cback » Di 21.Dez, 2004 22:07

WARNUNG: Kritische Sicherheitslücke in der PHP Skriptsprache!
Betroffen sind alle Server die PHP Versionen von 4.3.9 bis 5.0.3 einsetzen!


Ein neuer Internet-Wurm breitet sich mit rasanter Geschwindigkeit aus: Net-Worm.Perl.Santy.a! Dieser Wurm nutzt eine schwachstelle im PHP Dienst des Servers aus oder in älteren Versionen von phpBB Forensoftware. Dieser Beitrag selbst und die hier gelisteten Links sollen Euch so gut wie möglich über diese Sicherheitslücke informieren!

Inwiefern ist phpBB betroffen?
Alle diejenigen die noch ältere Versionen der phpBB Forensoftware als die neueste Version 2.0.11 einsetzen sind gefährdet. Ein Update auf die neueste Version wird DRINGEND empfohlen!


Inwiefern ist mein Server gefährdet?
Auch mit einer sicheren Version von phpBB (Ver: 2.0.11) kann Dein Server noch gefährdet sein, wenn die PHP Versionen (PHP Dienst) von 4.3.9 - 5.0.3 darauf installiert sind. Auch in diesem "Verarbeitungsdienst" für PHP Skripte kann der Wurm sensible Daten (Passwörter des Servers, etc.) erlangen und somit per Root-Recht auch auf ein Sicheres Forum eindringen. Doch nicht nur Foren sind davon betroffen, sondern alle Dienste und Webanwendungen die auf der Skriptsprache PHP Basieren was etwas direkter ausgedrückt bedeutet: Alle Webserver mit unsicheren PHP Versionen sind gefährdet!



Nähere Informationen?
Wenn Du weitere Informationen benötigst hilft Dir unsere kleine Linkliste, die Dich zu weiteren Informationen rund um phpBB und PHP Sicherheit sowie zu dem Wurm selbst informiert.

Benutzeravatar
only4pro
User
User
Beiträge: 149
Registriert: Do 23.Sep, 2004 21:44
Kontaktdaten:

Beitrag von only4pro » Di 21.Dez, 2004 23:38

Also auf meinem Webserver läuft die Version 4.3.10. Ist die dann sicher? Hab keine Lust mein Forum von 2.0.10 auf 2.0.11 upzudaten. Hab nur ein Code Stück verändert, das das wichtigste Loch stopft.

Für weitere Auskünfte bin ich dankbar.

mfg
Enemy Territory Zone
http://www.ET-Zone.de

ALSO BALD IST WIEDER WEIHNACHTEN!!! AVATAR ANPASSEN!

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Mi 22.Dez, 2004 07:03

Deine PHP-Version ja, das Update von 2.0.10 auf 2.0.11 solltest Du aber schon vollständig durchführen.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » Mi 22.Dez, 2004 11:36

Sagen wirs mal so: Du MUSST nicht Updaten und kannst natürlich auch die phpBB Version mit Lücken beibehalten, aber frag Dich eins: Wann benötigst Du mehr Zeit? Wenn Dein Board gehackt wird oder wenn Du das Update (was definitiv empfohlen wird) ausführst ;)

Benutzeravatar
Bootenks
Developer
Developer
Beiträge: 2034
Registriert: Sa 29.Mai, 2004 22:36
Wohnort: G?rlitz (?stlichste Stadt Deutschlands)
Kontaktdaten:

Beitrag von Bootenks » Mi 22.Dez, 2004 14:28

oje oje ... will ja nischt sagen aber bei mir hats mein Forum (also eigentlich das meines Kumpels) zerrupt... naja das kommt davon wenn er nicht updated... nee nee :'(
Nur ein Informatik Student. ^^

Benutzeravatar
only4pro
User
User
Beiträge: 149
Registriert: Do 23.Sep, 2004 21:44
Kontaktdaten:

Beitrag von only4pro » Mi 22.Dez, 2004 15:17

Also ich habe mich nicht präzise genug ausgedrückt:

Da ich auf ein Geschenk der phpbb Gruppe warte, auf das phpbb 2.2, habe ich das Update immer als gutes Omen (release) verschoben ;).
2004 wurde immer als das Jahr von phpbb 2.2 gesehen. Irgendwie gebe ich die Hoffnung nicht auf, hab mir vorgenommen bis Weihnachten zu warten, bevor ich das Forum update!
Mein Plan war, dann auf einem professionellen Hoster mit der neuen Forensoftware und neuem HP-Design zu wechseln.

Die Datenbank wird mindestens einmal pro Woche gesichert, und auch ein Backup des der Dateien die sich auf dem Server befinden, ist vorhanden ;). Bin relativ gut gesichert, 3 Leute machen immer mindestens 1mal wöchtlich Backups

Leider bin ich nur noch eine Woche da, fahr 2 Monat dann Weg. Das heißt wohl ich mache das Update auf 2.0.11 und erst im März werde ich dann auf einen Professionellen Hoster wechseln - dann auch hoffentlich mit dem neuen phpbb 2.2.

Vielleicht könnt ihr mich jetzt besser verstehen.
mfg
Zuletzt geändert von only4pro am Mi 22.Dez, 2004 15:18, insgesamt 1-mal geändert.
Enemy Territory Zone
http://www.ET-Zone.de

ALSO BALD IST WIEDER WEIHNACHTEN!!! AVATAR ANPASSEN!

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Mi 22.Dez, 2004 16:51

Verstehen schon, aber bis dahin könnte Dein Board weg sein und die damit nicht gesicherten Beiträge ebenfalls. Das bedeutet zweifelsfrei mehr Zeit und Ärger, als jetzt noch das Board auf den neuesten Stand zu bringen.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
skittles
User
User
Beiträge: 907
Registriert: So 04.Apr, 2004 00:07
Wohnort: Wien

Beitrag von skittles » Do 23.Dez, 2004 14:43

Oxpus? Was ist an all-inkl leicht schlecht?
Bin derzeit nicht ganz uptodate!
Hab eh schon längst die 11er Version oben! darum frag ich mich was da los ist!
Warum wechselst du denn?
[center]Populanten von transparenten Domizilen sollten
mit fester Materie keine transzendenten Bewegungen durchf?hren.
[/center]


Bild

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Do 23.Dez, 2004 15:06

PHP selber ist veraltet, nicht die Board-Software.
Und den Hoster habe ich nicht gewechselt, sondern nur einen Server dort.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
skittles
User
User
Beiträge: 907
Registriert: So 04.Apr, 2004 00:07
Wohnort: Wien

Beitrag von skittles » Do 23.Dez, 2004 17:44

aso!
danke für die Aufklärung ;-)
[center]Populanten von transparenten Domizilen sollten
mit fester Materie keine transzendenten Bewegungen durchf?hren.
[/center]


Bild

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » Do 23.Dez, 2004 17:57

Das is jetzt der Nachteil wenn man nen Server mit rootrecht hat :D
Sehr geehrter Kunde,

gemäß unserer AGB sind unsere Kunden für die Updates auf neue Versionen von Software oder die Installation von dritten Programmen selbst verantwortlich. Sicherlich besteht im Einzelfall die Möglichkeit das Update durchzuführen, dieses wird jedoch berechnet...
Da muss ich selber Hand anlegen.
Zuletzt geändert von cback am Do 23.Dez, 2004 17:57, insgesamt 1-mal geändert.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Fr 24.Dez, 2004 11:39

Geht doch schnell ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
nightowl
Partner
Partner
Beiträge: 327
Registriert: Mo 16.Feb, 2004 18:47
Wohnort: Bielefeld
Kontaktdaten:

Beitrag von nightowl » Sa 25.Dez, 2004 11:32

:lol: :pp:
Bild

modbo
User
User
Beiträge: 1422
Registriert: Mo 13.Dez, 2004 11:18
Kontaktdaten:

Beitrag von modbo » So 02.Jan, 2005 19:02

All-inkl offeriert mir ebenfalls, den Server wechseln zu können. Würde eine Offline-Zeit von 1-4h mit sich ziehen.

Mir stellt sich nun die Frage: machen, oder nicht?

Aus sicherheitstechnischen Gründen sicher ja, nur welche negativen Randerscheinungen können ggf. auftreten?
Würde vorher alles backuppen.

Benutzeravatar
SethDeBlade
User
User
Beiträge: 750
Registriert: Mo 31.Mai, 2004 01:31
Kontaktdaten:

Re: Warnung! Kritische Sicherheitslücke im PHP Dienst!

Beitrag von SethDeBlade » So 02.Jan, 2005 19:29

[quote="cback - Di Dez 21, 2004 22:07";p="18908"]
Inwiefern ist mein Server gefährdet?
Auch mit einer sicheren Version von phpBB (Ver: 2.0.11) kann Dein Server noch gefährdet sein, wenn die PHP Versionen (PHP Dienst) von 4.3.9 - 5.0.3 darauf installiert sind. [/quote]

heise sagt aber
Betroffen sind PHP4 bis einschließlich 4.3.9 sowie PHP5 bis einschließlich 5.0.2.
also irgendjemand hat da was falsch verstanden ;)

@modbo ich habe auch bei all-inkl das Update machen lassen und bis auf die kurze Offline-Zeit keine Probleme gehabt. Ich würde es in die Kategorie "schnell und unkompliziert" einstufen ;)
Zuletzt geändert von SethDeBlade am So 02.Jan, 2005 19:31, insgesamt 2-mal geändert.

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » So 02.Jan, 2005 19:36

Oh ok ich machs als intervallschreibweise :D

[4.3.9; 5.0.3[ :D

oder

[4.3.9; 5.0.2] ;)

Jo so gehts :D

Benutzeravatar
SethDeBlade
User
User
Beiträge: 750
Registriert: Mo 31.Mai, 2004 01:31
Kontaktdaten:

Beitrag von SethDeBlade » So 02.Jan, 2005 19:38

schreib doch einfach, dass alle versionen bis auf 4.3.10 und 5.0.3 betroffen sind ;) :D

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Mo 03.Jan, 2005 00:36

@modbo
Würde ich auf jeden Fall machen. Nach dem Serverwechsel wirst Du jedenfalls ausser ggf. einer leichten Geschwindigkeitssteigerung keinen weiteren Unterschied merken.
Und der Serverwechsel wird in der Regel nachts, also bei wenig Besuch, durchgeführt.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

modbo
User
User
Beiträge: 1422
Registriert: Mo 13.Dez, 2004 11:18
Kontaktdaten:

Beitrag von modbo » Mo 03.Jan, 2005 00:39

Ja, stimmt. Von Webspace und DB hab ich bereits ein Backup gezogen. Der Umzug soll wahrscheinlich noch heute Nacht stattfinden.
Mal sehn, ob dann alles wieder läuft. Nach der Mega-Traffic Rechnung bin ich bei all-inkl ein bisschen vorsichtig geworden :(

//edit: Hat alles geklappt. MySQL 3.23.55 hätten sie auf dem Server vielleicht auch nur mal uppen können.

Antworten