pForum 1.28 kompromittierbar durch SQL-Injection-Angriff?

Begonnen von dennisboeck, 25. November 2014, 13:06:30

Vorheriges Thema - Nächstes Thema

dennisboeck

Hallo pForum-Gemeinde,
mein Webhoster hat vorhin eine E-Mail vom Bundesamt für Sicherheit in der Informationstechnik erhalten, dass ein Script auf meiner Webseite, in diesem Fall pForum 1.28, für SQL-injection-Angriffe kompromittierbar sei.
Mit einem Link der beweisen soll, dass Daten per SQL ausgelesen werden können.
Ist dies auch anderen bekannt? Gibt es noch ein Update für das Forum, welches ich vielleicht nicht gefunden habe?
Vielen Dank für eure Hilfe im Voraus!
Dennis

Powie

Es wurde damals bis zur Version 1.31 entwickelt. Ich denke da wurde auch mal das genannte Sicherheitsrisiko behoben.... Könnte ich dir theoretisch zur Verfügung stellen.
Was mich aber viel mehr verwundert das so eine alte Version überhaupt noch läuft bei dir. Seitdem hat sich php so verändert das die meisten pForum oder pScripte längst ihren Dienst verweigern. Ich würde mir mehr Sorgen um die Webseite / Webserver machen wenn das noch auf so alter Technik rennnt....
-> Es gibt ein Script um die Daten ins phpBB zu holen!

dennisboeck

Danke für die schnelle Anwort.
Auf dem Webserver läuft momentan PHP 5.2.17
Da ich nicht der Betreiber des Webservers bin, muss ich mir auch nicht viel Sorgen um ihn machen.
Ich vermute das Update auf Version 1.31 geht mit deutlich weniger Aufwand als zu phpBB zu wechseln und es so zu konfigurieren, dass es von den Farben wieder so aussieht, wie im Moment mein pForum.
Die nächste PHP-Version auf dem Webserver ist 5.3.28
Wäre natürlich blöd, wenn in Kürze PHP 5.2.17 vom Webhoster nicht mehr angeboten wird sondenr mindestens 5.3.28 und pForum nicht damit läuft.
Bis zu welcher PHP Version funktioniert es denn noch?

Powie

Hi,
ich habe die 1.31 soweit umgebaut das sie auch wieder mit der 5.4 läuft. Sind ja doch noch einige Foren so in Betrieb. Ich war selber ertaunt das sich das pForum so lange gehalten hat.
Theoretisch sollte der Umbau für dich ja möglich sein.
Gib mal den Link zu deinem Board

dennisboeck


dennisboeck

Thomas, es wäre super, wenn du mir die neuste Version des Forums zum Download zur Verfügung stellen könntest, denn mittlerweile hat mein Webhoster schon meine Webseite wegen der Lücke gesperrt.

Powie

Ich habe dir vor Tagen einen Link für den Download per Mail geschickt!

all your base are belong to us / Discord