phpBB schließt Authentifizierungsumgehung mit Wurzeln vor zehn Jahren

Zusammenfassung

In der Forensoftware phpBB ist eine seit zehn Jahren im Code vorhandene Schwachstelle behoben worden, die eine Anmeldung als beliebiger Benutzer erlaubt – auch als Administrator. Entdeckt wurde der Fehler laut Aikido am 2. Juni; die Forscher meldeten ihn über das HackerOne-Programm des Projekts. phpBB reagierte nach Angaben des Unternehmens umgehend und beseitigte das Problem am 6. Juni mit Version 3.3.17. Betroffen sind nach Angaben von Aikido alle Versionen der 3.x- und 4.x-Reihen bis einschließlich 3.3.16 und 4.0.0-a2. Für die 4.x-Linie gibt es derzeit noch keinen Fix. Besonders brisant ist die Hürde für Angreifer: Laut Aikido lässt sich die Lücke mit einer einzigen HTTP-Anfrage ausnutzen, ohne besondere Konfiguration und sogar in der Standardkonfiguration. Damit trifft das Problem eine Plattform, die trotz ihres Popularitätshöhepunkts in den 2000er- und frühen 2010er-Jahren weiterhin tausende Foren weltweit betreibt.

Die Anwendungssicherheitsfirma Aikido stuft die Schwachstelle in phpBB als trivial ausnutzbar ein. Einen CVE-Eintrag oder eine andere Kennung gibt es für den Fehler nicht. Nach Angaben der Forscher genügt eine einzelne HTTP-Anfrage, um die Authentifizierung zu umgehen und sich als beliebiger Nutzer anzumelden.

Aikido erklärt, die Lücke sei vor zehn Jahren in die Codebasis gelangt und betreffe sämtliche Veröffentlichungen der 3.x- und 4.x-Zweige bis zu den Versionen 3.3.16 und 4.0.0-a2. phpBB behob das Problem für die 3.x-Reihe mit Version 3.3.17. Für 4.x ist laut dem Bericht noch keine abgesicherte Veröffentlichung verfügbar.

Die Forscher betonen, dass keine besondere Konfiguration nötig ist. In ihrem Bericht heißt es, die Schwachstelle sei „in der Standardkonfiguration ausnutzbar und erfordere kein besonderes Wissen“. Nutzer von Version 4.0.0-a2 oder 3.3.16 und älter sollten laut Aikido auf den jeweiligen Entwicklungsstand beziehungsweise auf 3.3.17 aktualisieren, um eine Kompromittierung zu vermeiden.

Die möglichen Folgen ergeben sich aus dem erreichbaren Kontoniveau. Mit Administratorzugriff könnten Angreifer laut Aikido alle im Forum gespeicherten privaten Nachrichten einsehen, Inhalte und Benutzerkonten anlegen, verändern oder löschen, sich als Mitarbeiter ausgeben oder Seiten verunstalten. Die Auswahl von Zielen sei zudem einfach, weil die Mitgliederliste auf phpBB-Foren standardmäßig öffentlich sei.

Für eine weitergehende vollständige Systemübernahme nennt Aikido allerdings eine Einschränkung: Eine Remotecodeausführung sei nicht möglich, weil das Admin Control Panel durch eine separate Passwortprüfung geschützt werde. Die Authentifizierungsumgehung reicht demnach nicht aus, um diese zusätzliche Schranke zu überwinden.

Aikido hat technische Details zur Lücke zunächst zurückgehalten, damit Administratoren Zeit für Sicherheitsupdates bekommen. Nach eigenen Angaben kontaktierte das Unternehmen außerdem direkt die Betreiber großer, auf phpBB basierender Foren, um sie zu warnen. Einen Termin für die Veröffentlichung einer vollständigen technischen Analyse nannte Aikido noch nicht.

Beim Einspielen des Updates kann es nach Angaben der Forscher zu Nebenwirkungen kommen, wenn Foren OAuth-Authentifizierung verwenden. Grund dafür ist, dass der OAuth-Redirect-Handler an eine neue Stelle verschoben wurde. In den meisten Fällen soll sich das jedoch mit geringem Aufwand beheben lassen.

phpBB ist eine freie, quelloffene Forenplattform auf PHP-Basis. Zwar lag ihre größte Verbreitung in den 2000er- und frühen 2010er-Jahren, doch nach Angaben des Berichts betreibt sie bis heute weltweit tausende Foren.

phpBB schließt Authentifizierungsumgehung mit Wurzeln vor zehn Jahren

Ähnliche Artikel

Neueste Artikel