FAQ Sicherheitslücke bekannt?
 

Hallo,

grad bei Heise gelesen -> http://www.heise.de/netze/meldung/vB...n-1044297.html Denke zwar nicht, dass diese Sicherheitslücke hier vorhanden ist, aber ich denke eine Erwähnung ist es wert ... sicher ist sicher :)

AW: FAQ Sicherheitslücke bekannt?
 

Hab ich auch schon gelesen und auch bei der DP getestet. Diese ist aber (noch) nicht verwundbar da hier noch die Version vBulletin 3.8.5 eingestetzt wird (Bug in 3.8.6). Aber es ist glaube ich ein guter Tip für Daniel (falls er updaten will) wenn er es nicht selbst schon bei Heise gelesen hat :wink:

Da sieht man mal wieder das nicht immer die neueste die beste Version ist :stupid:

AW: FAQ Sicherheitslücke bekannt?
 

Daniel wusste von der Lücke schon am Morgen. Das war lange bevor Heise das veröffentlicht hat. ;-)

AW: FAQ Sicherheitslücke bekannt?
 

Aber es ist nett von Euch uns darauf hinzuweisen, anstatt zu versuchen eine etwaige Lücke auszunutzen :thumb:

AW: FAQ Sicherheitslücke bekannt?
 

Und das soll 'ausversehen' so eingebaut worden sein? :shock:

AW: FAQ Sicherheitslücke bekannt?
 

naja, das sollte dem Verfassungsschutz wahrscheinlich Zugang und zu den Daten von Nutzern eines im Sauerland gehosteten Terror-Forumms verschaffen :D

AW: FAQ Sicherheitslücke bekannt?
 

Genau, da klagt wohl wieder jemand, der seinen Bildschirm geschrottet hat, weil einer animierte Fliegen als Avartar hat. :roll:
Ich weiß ich bin wieder etwas paranoid, aber zur Sicherheit nochmal die Frage: Passiert sowas echt so schnell in PHP bzw bei Forenentwicklung?

AW: FAQ Sicherheitslücke bekannt?
 

jupp, sowas passiert überall so schnell, wo viele Teile zusammenarbeiten ...
'ne kleine "harmlose" Änderung hier kann eine große und böse Auswirkung wo anders haben.

AW: FAQ Sicherheitslücke bekannt?
 

Ein Programmierer baut soetwas zum Debuggen/Testen ein und bedenkt nicht, dass diese Änderung in ein Versionierungssystem zurückgeschrieben wird und schon ist es Teil des nächsten Builds.

AW: FAQ Sicherheitslücke bekannt?
 

Möglicherweise war das Debug-Code, der versehentlich ins Release gerutscht ist.

AW: FAQ Sicherheitslücke bekannt?
 

Also in diesem Fall hat das etwas mit einem dämlichen Entwickler zutun,der seinen Debug-Code vergessen hatte. Meinetwegen hatte es auch was mit schlampiger Qualitätskontrolle zutun. Die Zugangsdaten zur Datenbank hätte man aber in jeder denkbaren Programmiersprache ausgeben lassen - und das nicht nur bei Foren. PHP hat seine Schwächen, Stärken und was auch immer - nur diesmal hat der Fehler nichts mit der Tatsache zutun, dass es sich um eine in PHP entwickelte Software handelt.

Ich habe hier noch Version 3.8.5 im Einsatz, weil die im Update korrigierten Fehler für uns nicht relevant sind. Bei Gelegenheit werde ich das Update ausführen, aber es besteht hier kein Leidensdruck. Davon mal abgesehen wären wir wohl so oder so kein echtes "Opfer" geworden, da der MySQL-Server von außen nicht zugänglich ist.

AW: FAQ Sicherheitslücke bekannt?
 

Schön wäre die Offenlegung der Zugangsdaten aber auch nicht gewesen.

AW: FAQ Sicherheitslücke bekannt?
 

Das nicht, aber ich geb Daniel mal nen :thumb:. Diejenigen, die ihren DB-Server so konfigurieren, dass eine Software mit allgemein gueltigen Zugangsdaten drauf zugreifen kann, sind selber Schuld wenn so eine Luecke bei ihnen zu Datenlecks fuehrt. <user>@'%' ist das Zweitschlimmste das man bei MySQL machen kann. Schlimmer ist nur 'root'@'%'

Greetz
alcaeus

PS: und nein, mit PHP hat das wirklich nichts zu tun.

AW: FAQ Sicherheitslücke bekannt?
 

Wobei man den Zugriff bei MySQL eigentlich zuerst mal erlauben muss. So kann man es nicht darauf schieben, vergessen zu haben, es sicher zu machen :mrgreen:

AW: FAQ Sicherheitslücke bekannt?
 

Es sei denn du nutzt das selbe Passwort für den MySQL-Server, wie für deinen Admin-Account hier. :zwinker:

AW: FAQ Sicherheitslücke bekannt?
 

Also das nenn ich mal eine kritische Sicherheitslücke :shock: Gut, dass die DP nicht betroffen ist. Ich frage mich trotzdem, ob diese Lücke schon irgendwo ausgenutzt wurde.

AW: FAQ Sicherheitslücke bekannt?
 

Bestimmt die bösen Jungs sind leider schnell
*an mein ehemaligs armes überaltertes und gehacktes Forum denk*

Es dauert ja eine Weile, bis alle Betroffenen de Fehler behoben haben.
Ich hoffe mal Heise hat die Forenbetreiber auch angeschrieben, bei welchen sie diese Lücke entdecken konnten.

AW: FAQ Sicherheitslücke bekannt?
 

Naja, man brauchte nur ne Google-Suche starten, und *bumms* landete man auf zahlreichen vBulletins, die alle genau den Fehler hatten.