Achtung: Dieses Blog ist umgezogen auf die Adresse blog.xwolf.de
Bitte ändern Sie Ihre Bookmarks entsprechend.

Montag, 18. Juli 2005
Schon wieder...!?!??! XSS-Bug in phpBB 2.0.16.
Webworking
Oh man! Das ist echt unfassbar. So schlecht kann doch keiner programmieren, daß die dauernd wieder solche Bugs reinhauen.

Ein satirisches Beitrag beim Heise-Forum passt da echt gut:
The same horror again and again
18. Juli 2005 17:15
von "Schaulustiger":


Neulich vor der Kaffeemaschine bei einem Internet-Dienstleister um
die Ecke.

A: "Haste gelesen, eben bei Heise. Gibt mal wieder 'nen neuen Patch für phpBB."
B: "Hmm... jau... was is' es diesmal?"
A: "Der gute, alte Cookie-Klau."
B: "Ahja, wann war das noch? 2001 gab's das doch schon mal?"
A: "Kommt alles wieder. Gib mal die Milch."
B: "Manche lernen es nie. Der gute, alte Trick mit der Session-ID in der URL?"
A: "Scheint so. Wassen heute für ein Tag?"
B: "Mittwoch... moment... ja, Mittwoch. Montags finden Sie raus, was die Skriptkiddies am Wochenende für einen Exploit geschrieben haben, Dienstag ist der Fix da und Mittwoch steht's in den News."
A: "Mittwoch? Dann bist du heute mit dem Patchen bei phpBB dran."
B: "Schrott, ich wollte mal heute zeitig Heim. Ich hab doch schon Montag gepatcht..."
A: "Tjo, abgemacht ist abgemacht. Ich Dienstag, Donnerstag, Samstag."
B: "Ist schon gut! Schon gut! Kotzt mich halt nur ziemlich an, jedesmal wieder die Foren patchen zu müssen. Warum habt ihr überhaupt damals phpBB genommen?"
A: "Es hat jeder genommen. Es ist leicht zu installieren. Es kostet nichts."
B: "Aha...Noch Zucker da oder nur Süßstoff?"
A: "Und dem Chef haben die bunten Vorlagen gefallen."
B: "Und wer muss es ausbaden?"
A: "Mittwochs? Du."
B: "Bei dem einen Kunden neulich, Spielwaren Kröber, hatten wir nur FTP-Zugang. Wir haben 10 Webseiten mit Update-Anweisungen per Hand jeweils in die Dateien reingepatcht. Da war 2.0.4 drauf... von 2.0.4 auf 2.0.5 von 2.0.5 auf 2.0.6 von... bis 2.0.14 oder so...."
A: "Hehe, schöner Mist. Hatte den Kröber am Telefon, der war stocksauer, als er all die roten Seiten gesehen hat, auf denen nur noch 'You're owned' stand. Ich wusste auch erstmal nicht, was los war, bis ich auf Heise Security was über die Sicherheitslücke gelesen habe."
B: "Hey, du weisst doch... Als Admin musst du IMMER wissen, was die Kunden auf ihren Servern installieren. Die sollten ein Feature einrichten, daß man bei einem neuen phpBB-Exploit direkt 'ne SMS kriegt."
A: "Man könnte den Kunden auch eine geladene Waffe in die Hand drücken und uns dafür verantwortlich machen, wenn es Tote gibt."
B: "Bei einige Kunden könnte ich echt dafür verantwortlich sein, wenn die tot gefunden werden..."
A: "Falling Down noch vor dem ersten, gepatchten Forum? Spar dir das für Karnickelzucht-ruhrpott.de nachher auf."
B: "Klasse, das Prestige-Objekt vom Chef. Darf ja nix kosten!"
A: "Tjo, der Kaffee hier ist zwar auch umsonst, aber wenn ich nach jeder Tasse einen Tag lang Magenbeschwerden hätte, würde ich - ehrlich gesagt - lieber dafür zahlen."
B: "So is' es. Ich geh' mal patchen."
A: "Viel Spaß."

... link


Spamfutter

Die folgenden E-Mail-Adressen dienen lediglich dazu, SPAM-Bots dazu zu verleiten, ungueltige Adressen in die SPAMer-Datenbanken zu schreiben. Bitte ignorieren.

eggd@wijpufsr.tv, lazswj@regjqdvrjwpnp.edu, boicqcznzm@hvhtviqbvxtpnjmeqvq.at, owirbd@jcuoudbwhdyglk.pl, xercjetj@rwftegkttleeqmqxmlujx.es, xhdtyyluo@ubleaeqyiwthynjxzf.nl, onobkfdd@itrpqdirn.us, scgywwyo@jcutkmlhkt.jp, rsavbipipm@tronqcbqx.br, fgxddj@dnwmdlnstfejbpojxb.mil, uxvnhztf@gjgsakkhxdpmpmurilmh.ru, grnbzdk@bbffjgjdeoog.ch, vhbhohc@ozlfbbyicdmoxxevdocg.com, vttrthbgzp@fuqsjpwpndyveejdmqk.dk, stygznuwnj@usicpculxebdn.at, erljypv@nrdtjecdgfwu.es, qkyrkfvu@pfuhajhfnkuyggahd.ar, fsikizto@cpnqmrjsqqdnitojlt.br, qhq@oxfrsgndtowvmlenyawmxr.mil, bvrgdubluq@yxmrtokuucc.eu, icbrfgmx@mwkkmeojfkgigwtut.com, ltnv@aifkodkpdbpn.edu, sdgigvk@gmuohjxbbjrffwinxviqyk.edu, dxlqwmk@uyzbixolxxxxwbm.com, cwc@ywhgpbllkeihnmfbbphpqno.com, fjmmyabq@tckwfangnymcni.it, bovsmd@dddjpqdtyvesfmuzxvte.ar, wwvyhjvykp@grqnphndkluauffzvcot.de, hjqtlibnq@oijaxpcrup.eu, iqxoniwr@nuimodpuvfvooqfztyk.pl