pForum 1.28 kompromittierbar durch SQL-Injection-Angriff?

Begonnen von dennisboeck, 25. November 2014, 13:06:30

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten1
Benutzer-Aktionen

dennisboeck

25. November 2014, 13:06:30
Hallo pForum-Gemeinde,
mein Webhoster hat vorhin eine E-Mail vom Bundesamt für Sicherheit in der Informationstechnik erhalten, dass ein Script auf meiner Webseite, in diesem Fall pForum 1.28, für SQL-injection-Angriffe kompromittierbar sei.
Mit einem Link der beweisen soll, dass Daten per SQL ausgelesen werden können.
Ist dies auch anderen bekannt? Gibt es noch ein Update für das Forum, welches ich vielleicht nicht gefunden habe?
Vielen Dank für eure Hilfe im Voraus!
Dennis

Powie

#1
25. November 2014, 16:00:11
Es wurde damals bis zur Version 1.31 entwickelt. Ich denke da wurde auch mal das genannte Sicherheitsrisiko behoben.... Könnte ich dir theoretisch zur Verfügung stellen.
Was mich aber viel mehr verwundert das so eine alte Version überhaupt noch läuft bei dir. Seitdem hat sich php so verändert das die meisten pForum oder pScripte längst ihren Dienst verweigern. Ich würde mir mehr Sorgen um die Webseite / Webserver machen wenn das noch auf so alter Technik rennnt....
-> Es gibt ein Script um die Daten ins phpBB zu holen!

dennisboeck

#2
27. November 2014, 13:37:46
Danke für die schnelle Anwort.
Auf dem Webserver läuft momentan PHP 5.2.17
Da ich nicht der Betreiber des Webservers bin, muss ich mir auch nicht viel Sorgen um ihn machen.
Ich vermute das Update auf Version 1.31 geht mit deutlich weniger Aufwand als zu phpBB zu wechseln und es so zu konfigurieren, dass es von den Farben wieder so aussieht, wie im Moment mein pForum.
Die nächste PHP-Version auf dem Webserver ist 5.3.28
Wäre natürlich blöd, wenn in Kürze PHP 5.2.17 vom Webhoster nicht mehr angeboten wird sondenr mindestens 5.3.28 und pForum nicht damit läuft.
Bis zu welcher PHP Version funktioniert es denn noch?

Powie

#3
30. November 2014, 12:18:41
Hi,
ich habe die 1.31 soweit umgebaut das sie auch wieder mit der 5.4 läuft. Sind ja doch noch einige Foren so in Betrieb. Ich war selber ertaunt das sich das pForum so lange gehalten hat.
Theoretisch sollte der Umbau für dich ja möglich sein.
Gib mal den Link zu deinem Board

dennisboeck

#4
01. Dezember 2014, 12:39:47
Gerne aktualisiere ich auf 1.31.
Das Forum ist hier zu finden: http://startrekvoyager.de/forum\" rel=\"external nofollow\">http://startrekvoyager.de/forum

dennisboeck

#5
04. Dezember 2014, 08:17:24
Thomas, es wäre super, wenn du mir die neuste Version des Forums zum Download zur Verfügung stellen könntest, denn mittlerweile hat mein Webhoster schon meine Webseite wegen der Lücke gesperrt.

Powie

#6
04. Dezember 2014, 08:28:00
Ich habe dir vor Tagen einen Link für den Download per Mail geschickt!
Drucken
Nach oben Seiten1
Benutzer-Aktionen
all your base are belong to us