Der Sicherheitsdienstleister Gulftech hat eine Reihe von Sicherheitslücken im populären Forensystem UBB.threads von InfoPop entdeckt. Laut Gulftech erlauben es verschiedene Fehler einem Angreifer, per Cross Site Scripting, SQL Injection und das Ausführen von beliebigen Dateien auf dem Rechner eines Forenteilnehmers sowohl dessen Daten auszulesen als auch die UBB.threads-Installation zu manipulieren.
Betroffen sind alle Versionen vor 6.5.2beta. Gultech empfiehlt zur Abhilfe ein sofortiges Update auf diese Vorabversion. Doch Infopop ist wesentlich zurückhaltender, da die neue Version unter anderem ein Update auf PHP 4.1 erfordert. Wegen der zahlreichen Änderungen geht der Hersteller von einer Betas-Phase von ein bis zwei Wochen aus. Angesichts der von Gulftech bereits angedeuteten Exploits für einge der Lücken könnte es in dieser Zeit jedoch schon echte Angriffe auf UBB.threads-Installationen und deren Benutzer geben.
Quelle und Links :
http://www.heise.de/newsticker/meldung/61061
