phpbb2 mit Sicherheitslücken - angeblich User IP für Aussenstehende auslesbar

#1 Hallo,

Ich habe eine Frage im Auftrage eines Freundes an Euch, die Ihr Euch mit Phpbb und Sicherheitslücken auskennt:

Sein Forum läuft auf phpbb neueste Version, 2,22.
Nun hat ein User angeblich festgestellt, daß es dort eine Sicherheitslücke geben soll.
Er behauptet, er könne (als normaler User ohne jegliche Modrechte) die IPs der geposteten Beiträge auslesen.

Es kann aber auch gut ein Bluff sein, da der User gerne mal einen vom Pferd erzählt, andererseits kennt er sich wohl gut in dem Bereich aus.

Meine Fragen an Euch:

1. habt Ihr schon mal von einer solchen Sicherheitslücke bei der neuesten Version von phpbb 2.22 gehört, die es normalen usern möglich macht, IPs fremder Postings auszulesen?

2. Hat einer von Euch vielleicht Zeit und Lust, es auszutesten, ob in dem besagten Forum eine solche Lücke besteht?

#2 hab gerade mal hier nachgesehen:
http://www.securityfocus.com/archive/1

imho ist dort keine solche Lücke bekannt.

- wäre jedoch darauf zurückzuführen, das Dein Kumpel falsche Rechte für normale User gesetzt hat.
- soll er sich doch mal als normaler User anmelden und das ganze testen.
- oder aber den User fragen?
- oder in den Serverlogfiles nachvollziehen, was der User (IP) auf der Seite getan hat.

Greetz Lp

#3 Hallo,
ich glaube nicht das das in phpbb2 in Form einer Sicherheitslücke möglich ist,
weil in so einem etwas größeren Projekt garantiert viele User den Entwicklern auf die "Finger Schauen" und einfach im Quelltext nachschauen.
MfG Typ
__________
Es ist richtig, wenn Politiker behaupten: Der Mensch ist Mittelpunkt.
Falsch ist nur die Schreibweise gemeint ist: Der Mensch ist Mittel. Punkt.

#4

Zitat

Laserpointa postete
hab gerade mal hier nachgesehen:
http://www.securityfocus.com/archive/1

imho ist dort keine solche Lücke bekannt.

- wäre jedoch darauf zurückzuführen, das Dein Kumpel falsche Rechte für normale User gesetzt hat.
- soll er sich doch mal als normaler User anmelden und das ganze testen.
- oder aber den User fragen?
- oder in den Serverlogfiles nachvollziehen, was der User (IP) auf der Seite getan hat.

Greetz Lp

Hi Laserpointa

nein, die Rechte wurden überprüft, das kann es nicht sein, nur die Admins haben die Möglichkeit, die IP zu sehen, nichtmal die Moderatoren können das.
Adminpasswörter sind absolut sicher, können nicht geknackt worden sein.

Der user behauptet ja, er könne das, vielleicht eben durch Quelltext auslesen (ich kenne mich damit nun gar nicht so aus).

Laserpointa, kannst Du Dir denn vielleicht mal den Quelltext ansehen, wenn Du Zeit hast?
Den die Möglichkeit, die "Typ" erwähnt, haben wir nicht ausprobiert.

#5 sorry das ich mit schlecht ausgedrückt hatte, Mit Quelltext meinte ich nicht den HTML-Quelltext
sondern den Source Code
der unzugänglich auf dem Server liegt, und vermutete erst da eine Sicherheitslücke bei der Programmierung, was ich aber ausschließen kann weil, JEDER sich diesen Code bei www.phpbb.de downloaden kann und selber nach Fehlern suchen kann.
@horatio
Wenn ich ein Link zum Forum hätte könnte ich als normaler User ganz einfach mal selber nachschauen.
Wenn ich aber gerade lese das die Moderatoren selber nicht die IP sehen könne könnte der Fehler an ander geänderten Datei liegen: ../phpbb/includes/ constants.php

PHP Code

<?php
// blabla
// User Levels <- Do not change the values of USER or ADMIN
define('DELETED', -1);
define('ANONYMOUS', -1);

define('USER', 0);
define('ADMIN', 1);
define('MOD', 2);
 // blabla und steht natürlich unter GPL un so
?>

Wie gesagt ist nur eine Vermutung
MfG Typ
__________
Es ist richtig, wenn Politiker behaupten: Der Mensch ist Mittelpunkt.
Falsch ist nur die Schreibweise gemeint ist: Der Mensch ist Mittel. Punkt.

#6 habe Dir den Link zum Forum per PN gesendet.
Natürlich kann es gut sein, dass beim Einbau irgendwas verbockt wurde.
Ausschliessen will ich es nicht, darum wäre es ratsam, wenn es eben einer mal austesten würde, der mehr von der Thematik versteht.

#7 Meine IP habe ich im HTML-Quelltext nicht gefunden,
näheres in der PN,
haben den die Moderatoren noch Moderatorenrechte (Beträge bearbeiten, löschen, IP lesen....) und weist du wie die Person die IP lesen kann die das Behauptete?
MfG Typ
__________
Es ist richtig, wenn Politiker behaupten: Der Mensch ist Mittelpunkt.
Falsch ist nur die Schreibweise gemeint ist: Der Mensch ist Mittel. Punkt.

#8 Hi,

Vielen Dank!
Die Moderatoren haben folgende rechte: Beiträge bearbeiten, löschen, verschieben, KEINE IP lesen.

Leider weiss ich nicht, wie derjenige es angeblich angestellt haben will, die IP auszulesen. Er sagt, wenn er das preisgeben würde, würde die Gefahr bestehen, dass das Forum zerstört würde. Sehr skurril.Jedenfalls hat er keine Einzelheiten dazu geäussert.

Es wird sowieso vermutet, dass er blufft und sich nur wichtig machen wollte.

#9 hä?
beim lesen (der IP) geht das Forum nicht kaputt aber, aber beim erzählen wie es geht schon??
was fürn Quark, du kannst dir ja mal die IP für meinen Testbeitrag sagen lassen (ist dir ja bekannt). Ging das mit dem IPs lesen von Vor dem einbau von den Mods wenn ja könnte es ein Fehler beim Einbau sein. Können den Administratoren IPs lesen?
edit: ich habe gerade mal probiert eine kleine SQL Injection zu machen, ist nix passiert normal müsste aber der ctracker-mod anschlagen
__________
Es ist richtig, wenn Politiker behaupten: Der Mensch ist Mittelpunkt.
Falsch ist nur die Schreibweise gemeint ist: Der Mensch ist Mittel. Punkt.

#10 Hi,

nochmal vielen dank für deine Hilfe. Ich denke, da wollte sich jemand einen Scherz erlauben....
Ja, Admins können IP auslesen, sonst aber niemand.

Grüsse!