Mit Version 2.0.19 der beliebten Foren-Software phpBB schließen die Entwickler unter anderem zwei Cross-Site-Scripting-Lücken, die aber nur im Internet Explorer zum Tragen kommen. Weitere Neuerung: Die Anzahl maximaler Login-Versuche kann begrenzt werden.
Eine der Cross-Site-Scripting-Lücken fand sich im bbcode zum Anzeigen von URLs. Die andere betraf HTML-Tags, wenn diese in der Board-Konfiguration erlaubt und aktiviert wurden. Durch die Begrenzung der Login-Versuche wollen die Entwickler Wörterbuchattacken oder Brute-Force-Angriffe verhindern.
Da inzwischen mehrere Würmer im Netz unterwegs sind, die automatisiert Schwachstellen in älteren phpBB-Versionen auszunutzen versuchen, ist die Installation des jeweils aktuellen Releases dringend zu empfehlen.
(dmk/c't)
Quelle:heise.security.de
Link:http://www.heise.de/security/news/meldung/67878
Gr33ts
@Jacki:agl: