Beschreibung
Alle ThWboard-Versionen sind von einer kritischen Sicherheitsluecke betroffen, die unter bestimmten Umstaenden* das Ausfuehren von Code auf dem Server erlaubt, mindestens jedoch das Ausfuehren von SQL-Statements.
Wir empfehlen daher dringend den nachfolgenden Patch einzuspielen, da uns bereits ein fertiger (zur Zeit nicht oeffentlicher) Exploit vorliegt, der diese Schwachstelle ausnutzt.
Das Downloadarchiv fuer Version 2.84 wurde bereits aktualisiert. Benutzer aelterer Versionen sollten zur aktuellen Version updaten oder den Patch manuell anwenden.
Patch anwenden
In inc/header.inc.php um Zeile 559
".$pref."style WHERE styleid=$board[styleid]");
ersetzen durch
".$pref."style WHERE styleid=".intval($board['styleid']));
Eine diff-Datei im unified-Format ist ebenfalls verfuegbar. Wer eine unmodifizierte ThWboard-Version verwendet, kann auch die komplette Datei ersetzen.
Diagnose
Ob eine ThWboard-Installation mit dem oben erwaehnten Exploit angegriffen wurde, laesst sich daran erkennen, dass ein neuer Adminbenutzer mit dem Namen 'suntzu' erstellt wurde.
* Falls Templates im Adminbereich beschreibbar sind.