phpbb ist eine sehr beliebte Forensoftware, deren Entwicklerteam sehr auf die Sicherheit des Systems bedacht sind. Die einfache Installation und Administration macht es bei Webmastern sehr beliebt und so wundert es nicht, dass es für dieses unter der GPL stehende Forum viele zusätzliche Module von externen Programmierern gibt. Solche Module können aber Sicherheitslücken aufreissen.
Bei zwei Modulen für das phpbb-Forum wurden nun kritische Sicherheitslücken gefunden, über die sich fremder Code auf den Webserver laden lassen. Über solche fremden PHP-Programme liessen sich z.B. Spam-Relais aufbauen.
Es handelt sich um die beiden Module
TopList und
Advanced Guestbook, wobei der Angriff gerade über das letztere besonders einfach zu sein scheint. Ein Update zu den Modulen gibt es noch nicht. Einzige Möglichkeit die Lücken zu schliessen ist derzeit,
register_globals auf off zu stellen. (hri)
