Software::Web
Manipulierte Pakete bei phpBB
Die Download-Pakete von phpBB 3.2.2 waren kurzzeitig mit Schadcode verseucht, was bis zu 500 Benutzer betreffen könnte. Allerdings wurde der Schadcode bereits neutralisiert. Die Server des phpBB-Projekts selbst wurden dabei nicht kompromittiert.
Mirko Lindner
Wie das phpBB-Projekt
mitteilt, wurde entdeckt, dass am 26. Januar für kurze Zeit manipulierte Pakete von phpBB zum Download angeboten wurden. Dies geschah dadurch, dass die Download-URLs von zwei Paketen, die auf
phpBB.com angegeben waren, auf Server verwiesen, die nicht zum Projekt gehörten. Das Team entfernte die fraglichen Links sofort und startete eine Untersuchung.
Ende 2014 war phpBB schon einmal von eimem Server-Einbruch betroffen, der durch die kompromittierten Login-Daten eines Team-Mitglieds möglich wurde und potentiell zum Auslesen aller Benutzerdaten und der Passwort-Hashes der Benutzer führte. Dieses Mal war allerdings kein kompromittierter Rechner oder Zugang im Spiel. Die manipulierten Pakete waren nur über einen externen Server erhältlich.
Betroffen waren die Pakete von phpBB 3.2.2 und das automatische Update-Paket von 3.2.1 auf 3.2.2. Wer diese am 26. Januar zwischen 12:02 und 15:03 Uhr UTC (13:02 bis 16:03 Uhr MET) heruntergeladen hat, hat ein manipuliertes Paket mit Schadcode erhalten und sollte dies keinesfalls benutzen, sondern sich an security@phpbb.com wenden. Wer es bereits installiert hat, kann sich für Hilfe zur Entfernung des Schadcodes an das Team wenden.
Wie das Team erklärt, sind die aktuell auf phpBB.com angebotenen Downloads sicher. Doch auch wer das manipulierte Paket bereits benutzt hat, braucht wahrscheinlich nichts zu befürchten. Denn der Schadcode versuchte lediglich, JavaScript-Code von einem bestimmten Server herunterzuladen. Die betreffenden Domain-Namen stehen unter der Kontrolle des phpBB-Projekts und daher konnte das Projekt dafür sorgen, dass der Schadcode wirkungslos bleibt.
phpBB ist ein leistungsfähiges Forensystem ähnlich dem proprietären Ultimate Bulletin Board. Es besitzt umfassende Kontrollinstrumente für den Administrator und viele Konfigurationsmöglichkeiten für jeden registrierten Benutzer. Durch die vollständige Trennung von Programmlogik und Layout lässt es sich leicht an das eigene Corporate Design anpassen. Eine sehr aktive Entwicklergemeinde kümmert sich ständig um Updates, und viele Entwickler bieten Mods an, um das Produkt weiter zu verbessern.
){kind=small}
