FMOFSP portāls

Izvēlne

Meklēšana

Aptauja

Kā tiec galā ar sesijas stresiem?
Stresa nav!
Eju vakcinēties
Prokrastinēju
Trenēju ķermeni, ne prātu
Netieku :(

Rezultāti

Foto

2005. gada 5. martā 18:05 

Atrasta kritiska phpBB ievainojamība. (4)

21. februārī iznāca phpBB forumu 2.0.12 versija, kurā gandrīz vienīgās izmaiņas bija dažādu kļūdu labojumi, bet īpašu uzmanību piesaistīja fakts, ka sākot ar šo versiju forumu apakšā vairs netiek uzrādīts phpBB versijas numurs.

Domāju, ka tāds lēmums tika pieņemts pēc tam, kad 2004. gada decembrī globālajā tīmeklī parādījās tārps, kas izplatījās izmantojot phpBB forumu ievainojamību, kas skāra visus forumus ar versijas numuru mazāku par 2.0.11.

Tārps ar Google palīdzību atrada lapas, kurās darbojās ievainojamās phpBB versijas un pēc tam, nosūtot speciālu pieprasījumu, tas ieguva vadību pār lapu un visu failu saturu, kuriem bija paplašinājumi - asp, htm, jsp, php, phtm un shtm, aizvietoja ar tekstu "This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation".

Bet ja tad pie vainas vairāk bija PHP kļūdas, tad nesen tika atrasta kritiska ievainojamība pašā phpBB foruma kodā, kas visai vienkārši ļauj parastam lietotājam iegūt administratora tiesības. Un šoreiz tas skar arī nesen iznākušo 2.0.12 versiju.

Labojumi ir pieejami 2.0.13 versijā, kas tika izlaista tikai 6 dienas vēlāk - 27. februārī. Bet laisalāpītu forumu, nebūt nav jālādē kaudze ar failiem un jānomaina vecos, pietiekfailā includes/sessions.php nomainīt šo rindiņu:

if( $sessiondata['autologinid'] == $auto_login_key )

pret šo: if( $sessiondata['autologinid'] === $auto_login_key )

Ja ir vēlme gūt apziņu, ka forums ir 2.0.13 versijas cienīgs, tad var arī izlabot vēl vienu mazu kļūdu, kuras apraksts kopā ar augstāk uzrakstīto ir izlasāms phpBB lapā.

Savukārt tie, kas vēlas pārbaudīt administratoru reakciju uz šādiem kļūdu labojumiem, var apskatīt un iemēģināt 4. martā iznākušo eksploitu: http://securitytracker.com/id?1013375

Autors: Kristaps Mors  Apskatīt komentārus »

Atslēgvārdi: php
Ieteikt draugiemTweet this!

Balsis: 0, vidējais vērtējums: 0

Vārds: E-pasts vai web-lapa:

 

« Septembris, 2024 »

POTCPSSv
 1
2345678
9101112131415
16171819202122
23242526272829
30123456
7 

Fizmatu blogi

VR Pasākumiem – virtuālās real..
Lai nebūtu pārpratumu, uzreiz saku, ka šis ierakst.. (09.06)
Spēks un Jauda 2017 un ūdrs. F..
Superjaukās piedzīvojumu sacensības jau 6. reizi. .. (09.04)
Par 30 dienu rakstīšanu un nos..
Es vēl esmu dzīvs! Tas, ka no manis kādu laiku ir .. (30.03)
#6 – Domājot par krūšgaliem (A..
Cienījamās Dāmas! Ceru, ka jums ar šo jautājumu vi.. (26.03)
Amatiera padomi garo distanču ..
Ja tu spēj pusi dienas pavasara talkā vākt gružus .. (25.03)

Iz arhīva