Sicherheitslücken im Forensystem UBB.threads <br /><br />Der Sicherheitsdienstleister Gulftech hat eine Reihe von Sicherheitslücken im populären Forensystem UBB.threads von InfoPop entdeckt. Laut Gulftech erlauben es verschiedene Fehler einem Angreifer, per Cross Site Scripting, SQL Injection und das Ausführen von beliebigen Dateien auf dem Rechner eines Forenteilnehmers sowohl dessen Daten auszulesen als auch die UBB.threads-Installation zu manipulieren. <br />Anzeige<br /> <br /><br />Betroffen sind alle Versionen vor 6.5.2beta. Gultech empfiehlt zur Abhilfe ein sofortiges Update auf diese Vorabversion. Doch Infopop ist wesentlich zurückhaltender, da die neue Version unter anderem ein Update auf PHP 4.1 erfordert. Wegen der zahlreichen Änderungen geht der Hersteller von einer Beta-Phase von ein bis zwei Wochen aus. Angesichts der von Gulftech bereits angedeuteten Exploits für einige der Lücken könnte es in dieser Zeit jedoch schon echte Angriffe auf UBB.threads-Installationen und deren Benutzer geben. (je/c't) Quelle

Diese Sicherheitsprobleme habe ich bereits vor Monaten an Infopop gemeldet, unter anderem deswegen gibt es die neue Version.<br />Wer seine bestehende Installation absichern möchte, kann meinen Input validation mod verwenden, den ich bereits vor Wochen hier veröffentlicht habe:<br />http://www.ubbdev.com/forum/showflat.php/Cat/0/Number/127242/an/0/page/0#127242

Den Validator habe ich zu laufen, sicher ist sicher. Ich habe nämlich Probleme mit der 6.5.2b2 und bekomm sie nicht sauber zu laufen. Benutzer in bestimmten Gruppen haben plötzlich keinen Zugriff mehr auf ihr Forum. Muss wohl erst mal eine Testinstallation machen und gucken, woran das liegt.

das lese ich ja jetzt erst ... das ist seit Monaten bekannt??<br />mir war ja klar das gulftech das früher gemeldet haben muss, die beta2 sozusagen mit der Meldung forciert hat, heise bringt halt nur noch die Skriptkiddies auf den Plan.<br /><br />Aber echt NULL feedback von Infopop, keine Warnung, nichts.<br />ich hoste momentan über 1,5 Millionen postings, da macht so etwas schon sauer, trotz regelmässiger backups ...

This is old news isn't it?

Wann Gulftech das gemeldet hat, kann ich nicht sagen. Mir war das allerdings aufgefallen und habe das an Infopop weitergereicht. Ihre Reaktionen machten zumindest den Eindruck, als müssten sie es da noch nicht.<br /><br />Gulftech hat wohl bis zum Release der Beta gewartet und dann erst die Exploits veröffentlicht. Wie du in den Erläuterungen zum meinem Mod lesen kannst, habe ich keine genauen Anleitungen veröffentlicht, eben damit kein Scriptkiddie einfach was kaputtmachen kann. Das ist jetzt in der Tat anders.<br /><br />Zum Gebahren von Infopop sag ich jetzt mal nichts. Sie haben wohl drauf spekuliert, dass es bis zur Final noch niemand veröffentlicht. Passt aber zur ihrer sonstigen Informationspolitik.<br /><br /><br />@Allen Well, gulftech released a detailed report of the securities issues. That one was mentioned on the largest german IT news-page. But the security issues aren't new, as you know, I discovered them and released a mod for them 2 months ago.

Dieser Thread ist zwar alt, aber ich denke eine kurzer Hinweis zur V6 ist an deiser Stelle gut aufgehoben um evt besitzer älterer Installationen noch Hinweise zu geben.

Alle UBB Threads Versionen bis einschließlich Version 6.5.4 haben einen oder mehrere große Lücken, für die Exploits veröffentlicht wurden. Die Boards werden im großen Stil über Google gesucht und mit zur Version passenden Exploit gehacked.

Bislang sind mir aus eigener Erfahrung dabei 2 Vorgehensweisen untergekommen. Die erste geht sehr rabiat zur Sache. Durch die Lücke wird ein Script eingeschleust und gleich ausgeführt, welches alle auf dem Server erreichbaren .php Files modifiziert. Das File wird um einen iframe erweiter, der dann meist Schadcode zum User nachlädt, wenn er einen ungepatchten Webbrowser benutzt. hier sollen Client PC's zu Zombie PC's für verschiedene Zwecke gemacht werden. Meist wird auf dem Server zugleich noch eine adminsitrative Backdoor installiert. Das aufräumen eines solchen befallenen servers ist Expertensache um sicherzustellen, das alles clean ist. Alle php Files müssen rückgesichert werden oder einzeln bearbeitert werden.

Die zweite vorgehensweise ist sehr viel Stiller. Ich habe hierbei wieder 2 verschiedene Dinge erlebt. Beim ersten fand ich auf einmal auf meinem Server außerhalb des Webroots neue Verzeichnisse vor mit einer Sammlung von Scripten. Der Server wird hier zum IRC Bot für verschiedene Aufgaben. Beim 2. Mal habe ich lediglich eine Performance verschlechterung des FTP Servers bemerkt und den Provider gebeten den Server mal zu prüfen und siehe da, es liefen gleich mehrere IRC bots, ohne das was für mich erkennbar gewesen wär. Scripte auf Bereiche eingeschleust, auf die nur der Admin Zugriff hat.

Mit dem Release von 6.5.5 wurden alle bekannten Lücken geschlossen. Fast alle basieren auf die Möglichkeit der Parameter übergabe wenn der Server mit register_globals=on läuft. Die 6.5.5 prüft hier nun den Input besser. Bislang sind keine neuen Exploits bekannt, was aber nicht heißen soll, das das Script nun sicher ist. Ich habe aber seit Mai 06 keine weiteren Hacks mehr erlebt, auch wenn es nach meinem Serverlog reichlich probiert wird.