Nur Text | Text mit Bildern

powie.de Tech Forum

pScripte Support => pForum Support => Thema gestartet von: dennisboeck am 25. November 2014, 13:06:30

Titel: pForum 1.28 kompromittierbar durch SQL-Injection-Angriff?
Beitrag von: dennisboeck am 25. November 2014, 13:06:30
Hallo pForum-Gemeinde,
mein Webhoster hat vorhin eine E-Mail vom Bundesamt für Sicherheit in der Informationstechnik erhalten, dass ein Script auf meiner Webseite, in diesem Fall pForum 1.28, für SQL-injection-Angriffe kompromittierbar sei.
Mit einem Link der beweisen soll, dass Daten per SQL ausgelesen werden können.
Ist dies auch anderen bekannt? Gibt es noch ein Update für das Forum, welches ich vielleicht nicht gefunden habe?
Vielen Dank für eure Hilfe im Voraus!
Dennis
Titel: pForum 1.28 kompromittierbar durch SQL-Injection-Angriff?
Beitrag von: Powie am 25. November 2014, 16:00:11
Es wurde damals bis zur Version 1.31 entwickelt. Ich denke da wurde auch mal das genannte Sicherheitsrisiko behoben.... Könnte ich dir theoretisch zur Verfügung stellen.
Was mich aber viel mehr verwundert das so eine alte Version überhaupt noch läuft bei dir. Seitdem hat sich php so verändert das die meisten pForum oder pScripte längst ihren Dienst verweigern. Ich würde mir mehr Sorgen um die Webseite / Webserver machen wenn das noch auf so alter Technik rennnt....
-> Es gibt ein Script um die Daten ins phpBB zu holen!
Titel: pForum 1.28 kompromittierbar durch SQL-Injection-Angriff?
Beitrag von: dennisboeck am 27. November 2014, 13:37:46
Danke für die schnelle Anwort.
Auf dem Webserver läuft momentan PHP 5.2.17
Da ich nicht der Betreiber des Webservers bin, muss ich mir auch nicht viel Sorgen um ihn machen.
Ich vermute das Update auf Version 1.31 geht mit deutlich weniger Aufwand als zu phpBB zu wechseln und es so zu konfigurieren, dass es von den Farben wieder so aussieht, wie im Moment mein pForum.
Die nächste PHP-Version auf dem Webserver ist 5.3.28
Wäre natürlich blöd, wenn in Kürze PHP 5.2.17 vom Webhoster nicht mehr angeboten wird sondenr mindestens 5.3.28 und pForum nicht damit läuft.
Bis zu welcher PHP Version funktioniert es denn noch?
Titel: pForum 1.28 kompromittierbar durch SQL-Injection-Angriff?
Beitrag von: Powie am 30. November 2014, 12:18:41
Hi,
ich habe die 1.31 soweit umgebaut das sie auch wieder mit der 5.4 läuft. Sind ja doch noch einige Foren so in Betrieb. Ich war selber ertaunt das sich das pForum so lange gehalten hat.
Theoretisch sollte der Umbau für dich ja möglich sein.
Gib mal den Link zu deinem Board
Titel: pForum 1.28 kompromittierbar durch SQL-Injection-Angriff?
Beitrag von: dennisboeck am 01. Dezember 2014, 12:39:47
Gerne aktualisiere ich auf 1.31.
Das Forum ist hier zu finden: http://startrekvoyager.de/forum
Titel: pForum 1.28 kompromittierbar durch SQL-Injection-Angriff?
Beitrag von: dennisboeck am 04. Dezember 2014, 08:17:24
Thomas, es wäre super, wenn du mir die neuste Version des Forums zum Download zur Verfügung stellen könntest, denn mittlerweile hat mein Webhoster schon meine Webseite wegen der Lücke gesperrt.
Titel: pForum 1.28 kompromittierbar durch SQL-Injection-Angriff?
Beitrag von: Powie am 04. Dezember 2014, 08:28:00
Ich habe dir vor Tagen einen Link für den Download per Mail geschickt!
Nur Text | Text mit Bildern