To jest tylko wersja do druku, aby zobaczyć pełną wersję tematu, kliknij TUTAJ
phpBB2 by Przemo
Support forów phpBB2 modified by Przemo
Ogłoszenia - Mo?liwo?? w?amania na forum przez Junior admina
Widmo - 16-04-2006, 01:03
Temat postu: Możliwość włamania na forum przez Junior admina
Wprawdzie są dwa warunki użycia exploita - ale warto sie zabezpieczyc.

Wykryto dziurę która umożliwia wykonanie dowolnego kodu PHP na forum.

Pierwszy warunek - atakujący musi mieć dostęp do pliku *.css dostępnego na forum stylu (panel admina)
Czyli wystarczy że jest adminem, lub junior adminem.

Drugi warunek: *.css musi miec włączone prawa zapisu.

Jak się zabezpieczyć:

Ustaw CHMOD 444 na plik subSilver.css lub *.css swojego stylu.

Otwórz: viewtopic.php

ZNAJDZ:
Kod:

if ( $user_sig != '' )
{
    $user_sig = make_clickable($user_sig);
}
$message = make_clickable($message);


ZA DODAJ:

Kod:
$theme['fontcolor3']  = preg_replace('#[^a-f0-9]+#i','',$theme['fontcolor3']);
MaciekP - 16-04-2006, 02:30
Temat postu: Re: Wykryto dziurę w phpBB - ważna poprawka.
Widmo napisał/a:

Czyli wystarczy że jest adminem, lub junior adminem.

Żeby było jasne - gdy wszyscy nasi administratorzy/juniorzy to zaufane osoby, to nie musimy wgrywać tej poprawki?
Jeżeli tak, to nie wiem czy to aż tak ważna poprawka :)
Widmo - 16-04-2006, 02:37
MaciekP napisał/a:
Żeby było jasne - gdy wszyscy nasi administratorzy/juniorzy to zaufane osoby, to nie musimy wgrywać tej poprawki?
Jeżeli tak, to nie wiem czy to aż tak ważna poprawka


może jednak na wszelki wypadek warto wgrać...
bierz pod uwage wlamanie na konto admina...
irekk - 16-04-2006, 02:42
Widmo napisał/a:
bierz pod uwage wlamanie na konto admina...
wowczas zadna poprawka nas nie uratuje ;) MaciekP, to juz twoja broszka co zrobisz to jest raptem edycja jednego pliku czy to az taki problem?
Widmo - 16-04-2006, 07:39
qbs napisał/a:
wowczas zadna poprawka nas nie uratuje


majac dostep do panelu nie uruchomisz dowolnego kodu php ;]
MarX - 16-04-2006, 09:21
Co mnie martwi, skoro to taka ważna poprawka to, czemu nie ma żadnych informacji na maila.
Akurat codziennie zaglądam na forum, ale inni??
irekk - 16-04-2006, 09:45
wiesz wdmo, ale osoba ktora bedzie chciala zaszkodzic wystarczy ze zrobi masow usuwanie uzytkownikow i postow i po forum. wowczas php ci jest nie potrzebne ;)
przecinek - 16-04-2006, 10:19
Bazę można przywrócić, ale jak ktoś wykradnie md5 haseł to może nie być ciekawie :) .
irekk - 16-04-2006, 10:22
a w ogloszeniu nie mozna walnac exploita? tam chyba nie ma kontroli htmla?
Widmo - 16-04-2006, 22:39
MarX napisał/a:
Co mnie martwi, skoro to taka ważna poprawka to, czemu nie ma żadnych informacji na maila.
Akurat codziennie zaglądam na forum, ale inni??


bo wole jak Przemo wysle mass maila...
MarX - 17-04-2006, 09:02
Widmo napisał/a:
bo wole jak Przemo wysle mass maila...

rozumiem :) ufam swojej prawej ręce, ale poprawkę dodałem.
Przemo - 18-04-2006, 10:18
Widmo, 1. Kto wykrył dziurę?
2. Czy jest to dziura ogólnie phpBB czy naszej wersji?

W naszej wersji jest całkiem inne zarządzanie stylami. Nie można odebrać praw plikowi CSS, chyba, że juz nie bedziemy edytowac kolorow. Hackowac musialby admin lub junior admin z dostepem do zarzadzania stylami. Chyba to zbytnia panika.
Przemo - 18-04-2006, 10:21
Zmieniłem parametry tego tematu bo zbytnio straszyły :)
Widmo - 18-04-2006, 16:26
Przemo napisał/a:
Widmo, 1. Kto wykrył dziurę?


nie wiem - nie ja :)

Przemo napisał/a:
2. Czy jest to dziura ogólnie phpBB czy naszej wersji?

w naszej, w phpBB, w aktualnych i niższych.
GrZyB997 - 28-04-2006, 14:47
A mozna junior adminowi ując zarządzanie stylami ?

PzDr.


Powered by phpBB modified by Przemo © 2003 phpBB Group