Update auf phpBB 3.2.2

Neues rund um debianforum.de
Antworten
Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Update auf phpBB 3.2.2

Beitrag von feltel » 13.01.2018 15:09:45

Ich habe die Forensoftware eben auf das seit kurzem verfügbare Sicherheits- und Bugfix-Release phpBB 3.2.2 aktualisiert. Die Neuigkeiten und Änderungen in dieser Version sind unter https://www.phpbb.com/community/viewtop ... &t=2453381 dokumentiert.

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Update auf phpBB 3.2.2

Beitrag von feltel » 29.01.2018 15:30:15

Heute wurde unter anderem auf Heise bekannt (https://www.heise.de/security/meldung/F ... 53263.html), dass für einen gewissen Zeitraum die Update-Downloads von phpBB.com kompromittiert waren. Uns betrifft dieser Vorfall meiner Meinung nach nicht, da ich das Update auf die aktuelle Version bereits am 13.01. herunterludt, was zeitlich lange vor der Änderung der Download-Links liegt. Sobald genaue Infos vorliegen, welche Files und wie in den Downloads geändert wurden, checke ich das ebenfalls nochmal.

Benutzeravatar
DEBIANUNDANDREAS
Beiträge: 1304
Registriert: 01.06.2013 10:37:46

Re: Update auf phpBB 3.2.2

Beitrag von DEBIANUNDANDREAS » 31.01.2018 17:02:34

http://www.pro-linux.de/news/1/25558/ma ... phpbb.html
Manipulierte Pakete bei phpBB

Ist das Debianforum sicher ??

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Update auf phpBB 3.2.2

Beitrag von uname » 31.01.2018 17:11:27

Alles vollkommen unkritisch, wenn

1.) phpBB Prüfsummen bereitstellt (ist der Fall siehe https://www.phpbb.com/downloads/ )
2.) die Prüfsummen auf einen anderen Server gehostet werden (ist wohl nicht der Fall siehe auch https://www.phpbb.com/downloads/ )
3.) der Anwender den Download von normalen Server und die Prüfsummen vom anderen Server bezieht (scheinbar nicht möglich) und auch vergleicht

Personen die sowieso keine Prüfsummen kontrollieren brauchen jetzt nicht mehr weiter lesen.

Bei zwei Servern (Download und Prüfsumme) müsste der Angreifer beide Server übernehmen, was unwahrscheinlich erscheint.
Da scheinbar nur ein Server verwendet wird (https://www.phpbb.com), ist das Prüfen der Prüfsummen ziemlich sinnlos bei einer Übernahme des Servers.
Aber scheinbar gibt es die hoffentlich echten Prüfsummen bei Heise ( https://www.heise.de/security/meldung/F ... 53263.html )
Natürlich könnte man was daraus lernen und die Prüfsummen auf einen anderen Server hosten.

Siehe auch Vergleichsfall Linux Mint aus 2016:
https://www.golem.de/news/security-back ... 19295.html

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Update auf phpBB 3.2.2

Beitrag von feltel » 02.02.2018 16:10:24

DEBIANUNDANDREAS hat geschrieben: ↑ zum Beitrag ↑
31.01.2018 17:02:34
Ist das Debianforum sicher ??
Du hast meinen Beitrag viewtopic.php?p=1162745#p1162745 direkt über Deinem hier gelesen?

DeletedUserReAsG

Re: Update auf phpBB 3.2.2

Beitrag von DeletedUserReAsG » 02.02.2018 16:48:28

Haha, feltel hat sich trollen lassen! *mit‘m Finger drauf zeigt*

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Update auf phpBB 3.2.2

Beitrag von feltel » 02.02.2018 19:22:28

:facepalm: :mrgreen: :THX:

Antworten