Update: Defacement - Wurm sucht in Google nach Sites mit phpBB

Diverse deutsche Webseiten sind derzeit nicht erreichbar. Scheinbar sind Seiten, die die freie Foren-Software phpBB einsetzen, mit einem Exploit für eine vergleichsweise alte Sicherheitslücke der Foren-Software attackiert worden.

Die Lücke in phpBB hat Secunia am 19. November gemeldet. Von phpBB ist seit geraumer Zeit die Version 2.0.11 verfügbar, die das Problem behebt. Laut Secunia steckt eine der Fehlerquellen im Highlight-Parameter von "viewtopic.php". Bislang ist nicht geklärt, ob die Defacements tatsächlich mit dem phpBB-Bug zusammenhängen.

Wie Heise.de berichtet, sind vom Defacement deutsche Webseiten wie die der Zeitschriften Connect und Men's Health betroffen. In den Foren von phpBB ist von einem Wurm die Rede, der in Google nach viewtopic.php sucht. Findet er URLs, die dem Suchbegriff entsprechen, versucht er einzudringen und Dateien (.php, .htm, .asp, shtm, .jsp) zu überschreiben. Version 2.0.11 sollte von Betreibern von Foren mit phpBB also dringend aufgespielt werden. Während es den Wurm bereits seit längerem gibt, scheint laut Beiträgen in phpBB-Foren - etwa bei phpBB.de - die Google-Version neu zu sein. Einen der Forenbeiträge bei phpBB.de finden Sie hier.

Defacement: Worm.Perl.Santy.a tauscht Dateien mit den Endungen .htm, php, .asp, jsp, shtm wenn möglich gegen die Anzeige des hier zu sehenden Textes. Quelle: Kaspersky Lab

Update: Inzwischen hat Antivirenexperte Kaspersky Lab den Wurm unter der Bezeichnung Net-Worm.Perl.Santy.a in seine Viruslisten aufgenommen und warnt vor einer Epidemie. Für Surfer ist der Schädling allerdings ungefährlich. Nur Benutzer, die phpBB in Versionen vor 2.0.11 einsetzen, sind betroffen. Denen könnte allerdings das Einspielen der neuesten Signaturen helfen, sollte ein Update auf die neuere phpBB-Version nicht ad hoc möglich sein. (uba)

Über aktuelle Sicherheitslücken informieren Sie die Security Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter abbonieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hochkritischen Lücken per Security Alert informieren zu lassen.