Update auf phpBB 3.2.2
- feltel
- Webmaster
- Beiträge: 10378
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Update auf phpBB 3.2.2
Ich habe die Forensoftware eben auf das seit kurzem verfügbare Sicherheits- und Bugfix-Release phpBB 3.2.2 aktualisiert. Die Neuigkeiten und Änderungen in dieser Version sind unter https://www.phpbb.com/community/viewtop ... &t=2453381 dokumentiert.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
- feltel
- Webmaster
- Beiträge: 10378
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: Update auf phpBB 3.2.2
Heute wurde unter anderem auf Heise bekannt (https://www.heise.de/security/meldung/F ... 53263.html), dass für einen gewissen Zeitraum die Update-Downloads von phpBB.com kompromittiert waren. Uns betrifft dieser Vorfall meiner Meinung nach nicht, da ich das Update auf die aktuelle Version bereits am 13.01. herunterludt, was zeitlich lange vor der Änderung der Download-Links liegt. Sobald genaue Infos vorliegen, welche Files und wie in den Downloads geändert wurden, checke ich das ebenfalls nochmal.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
- DEBIANUNDANDREAS
- Beiträge: 1304
- Registriert: 01.06.2013 10:37:46
Re: Update auf phpBB 3.2.2
http://www.pro-linux.de/news/1/25558/ma ... phpbb.html
Manipulierte Pakete bei phpBB
Ist das Debianforum sicher ??
Manipulierte Pakete bei phpBB
Ist das Debianforum sicher ??
Re: Update auf phpBB 3.2.2
Alles vollkommen unkritisch, wenn
1.) phpBB Prüfsummen bereitstellt (ist der Fall siehe https://www.phpbb.com/downloads/ )
2.) die Prüfsummen auf einen anderen Server gehostet werden (ist wohl nicht der Fall siehe auch https://www.phpbb.com/downloads/ )
3.) der Anwender den Download von normalen Server und die Prüfsummen vom anderen Server bezieht (scheinbar nicht möglich) und auch vergleicht
Personen die sowieso keine Prüfsummen kontrollieren brauchen jetzt nicht mehr weiter lesen.
Bei zwei Servern (Download und Prüfsumme) müsste der Angreifer beide Server übernehmen, was unwahrscheinlich erscheint.
Da scheinbar nur ein Server verwendet wird (https://www.phpbb.com), ist das Prüfen der Prüfsummen ziemlich sinnlos bei einer Übernahme des Servers.
Aber scheinbar gibt es die hoffentlich echten Prüfsummen bei Heise ( https://www.heise.de/security/meldung/F ... 53263.html )
Natürlich könnte man was daraus lernen und die Prüfsummen auf einen anderen Server hosten.
Siehe auch Vergleichsfall Linux Mint aus 2016:
https://www.golem.de/news/security-back ... 19295.html
1.) phpBB Prüfsummen bereitstellt (ist der Fall siehe https://www.phpbb.com/downloads/ )
2.) die Prüfsummen auf einen anderen Server gehostet werden (ist wohl nicht der Fall siehe auch https://www.phpbb.com/downloads/ )
3.) der Anwender den Download von normalen Server und die Prüfsummen vom anderen Server bezieht (scheinbar nicht möglich) und auch vergleicht
Personen die sowieso keine Prüfsummen kontrollieren brauchen jetzt nicht mehr weiter lesen.
Bei zwei Servern (Download und Prüfsumme) müsste der Angreifer beide Server übernehmen, was unwahrscheinlich erscheint.
Da scheinbar nur ein Server verwendet wird (https://www.phpbb.com), ist das Prüfen der Prüfsummen ziemlich sinnlos bei einer Übernahme des Servers.
Aber scheinbar gibt es die hoffentlich echten Prüfsummen bei Heise ( https://www.heise.de/security/meldung/F ... 53263.html )
Natürlich könnte man was daraus lernen und die Prüfsummen auf einen anderen Server hosten.
Siehe auch Vergleichsfall Linux Mint aus 2016:
https://www.golem.de/news/security-back ... 19295.html
- feltel
- Webmaster
- Beiträge: 10378
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: Update auf phpBB 3.2.2
Du hast meinen Beitrag viewtopic.php?p=1162745#p1162745 direkt über Deinem hier gelesen?
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: Update auf phpBB 3.2.2
Haha, feltel hat sich trollen lassen! *mit‘m Finger drauf zeigt*
- feltel
- Webmaster
- Beiträge: 10378
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: Update auf phpBB 3.2.2
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM