Klartext.

Nach einigen Monaten hat die phpBB Group wieder einmal eine aktualisierte Version der beliebten Forensoftware herausgebracht. Neu ist diesmal, dass etliche Fehlerbehebungen aus dem im Juli angekündigten Sicherheits-Audit des Programmcodes eingeflossen sind. Ein Update ist also anzuraten.

Wie heute bekannt wurde, ist die gestern veröffentlichte Version jedoch unvollständig. Wer das Update schon eingespielt hat, muss noch einmal ran.

Mittlerweile sind die üblichen Distributionsarchive auf der Download-Seite neu zusammengestellt worden. Und diesmal gibt es auch direkt "ab Werk" eine MOD-artige Einbauanleitung für Anwender, die wegen vieler Modifikationen nicht einfach die geänderten Dateien aufspielen können. Wer sich bereits durch diese Anleitung gekämpft hat, findet im gleichen Thread die Stellen, die nunmehr für das vollständige 2.0.18-Update noch angepasst werden müssen.

Eben gefunden: Da hat sich jemand die Mühe gemacht, die bei phpbb.de auf mehrere Threads mit sehr vielen Postings verteilten Erkenntnisse zur Suchmaschinenoptimierung übersichtlich zusammenzufassen. Für Ungeübte wird auch ein fertig angepasstes Paket der 2.0.17 zum Download angeboten. Danke für die gute Arbeit.

Das Entwicklerteam von phpBB hat einen öffentlichen Aufruf gestartet: Für bestimmte Teilprojekte der geplanten neuen Version 3, auf die die Community schon sehr lange wartet, werden Entwickler gesucht. Darunter finden sich Komponenten wie ein Syndication-System, ein Karma-System, eine Komponente für einfacheres Backup und Restore, ein WYSIWYG-Editor (in meinen Augen herzlich überflüssig) sowie eine Sicherheits- und Test-Suite (hurra!).

Vor etwa zwei Wochen und heute erneut ist die Besucherzahl in unserem Katzenforum drastisch angestiegen. So drastisch, dass es eigentlich nicht durch reale Besucher erklärbar ist.

Ein kurzer Blick in die Logdateien ergibt eine Attacke auf eine Sicherheitslücke in der Forensoftware phpBB, die bis zur Version 2.0.15 existierte:

GET /phpbb/viewtopic.php?t=3331&start=0&postdays=0&postorder=asc&highlight=&sid=(...)&highlight='.system(getenv(HTTP_PHP)).' HTTP/1.0" 403 296 "-""Mozilla/4.0"

Die Attacke zielt auf eine Lücke im Highlight-Mechanismus von phpBB, die mittlerweile behoben ist.

Auch wenn ich die aktuelle Version benutze – diese Angriffe nerven, verfälschen die Statistik und verursachen Traffic. Und das nicht zu knapp. Folgender Eintrag in der .htaccess-Datei im Root-Verzeichnis des Forums schafft Abhilfe:

RewriteCond %{query_string} getenvRewriteRule .* 127.0.0.1 [L,F]

Damit werden Angreifer mit einem "Forbidden" abgefertigt und auf den eigenen Rechner umgeleitet. Schon ist Ruhe.