Меню
Что нового?

Очередная уязвимость в PHPBB 2.0.15

confguru

confguru

ExAdmin
Команда форума
Очередная уязвимость в PHPBB 2.0.15

В Full-Disclosure сообщается об обнаружении уязвимости в популярном ПО для организации форумов phpBB. уязвимость обнаружена в коде "highlighting" в функции preg_replace() файла viewtopic.php.

Существование уязвимости позволяет внедрить произвольный PHP-код в запущеннный скрипт, что может позволить выполнить системные команды, если PHP-интерпретатор поддерживает функцию system() и ей подобные. Уязвимость обнаружена в версии 2.0.15 и ниже.

Рекомендуется обновиться до версии 2.0.16 или внести исправление в файл viewtopic.php.
 

specialist

Guest
Re: Очередная уязвимость в PHPBB 2.0.15

Автор оригинала: admin
Уязвимость обнаружена в версии 2.0.15 и ниже.
Нажмите для раскрытия...
В версии 2.0.14 уязвимости не обнаружено.
 

specialist

Guest
Vladson
поясни где...что-то не могу найти...просто интересно :)
 
Krishna

Krishna

Продался Java
admin:
А конкретных описаний эксплойта, а лучше патча для устранения бага нет? Заранее спасибо.
 
Vladson

Vladson

Сильнобухер
Автор оригинала: Krishna
admin:
А конкретных описаний эксплойта, а лучше патча для устранения бага нет? Заранее спасибо.
Нажмите для раскрытия...
Есть уже версия 2.0.16 и там эта дыра заделана (но есть ещё одна, ждём версию 2.0.17) :)
 
Krishna

Krishna

Продался Java
Новая уязвимость уже в 2.0.16
XSS позволяет украсть куки пользователя. Работает только с IE, зато очень эффективно. Здесь описана суть:

http://www.cybersecurity.ru/bugtrack/5050.html

phpbb2.ru - здесь решение.
www.antichat.ru - это сайт авторов эксплоита.

От себя хочу добавить, что на моем форуме украли сразу несколько паролей, в частности пароль модератора. Дырка серьезная.

-~{}~ 15.07.05 19:07:

Забыл добавить, что хотя www.phpbb.com знает об этом, они до сих пор не сделали официального заявления.
 
Vladson

Vladson

Сильнобухер
На phpbb.com знают ибо у себя уже давно заделали, (о ней я и говорил парой постов выше) а на phpbbguru.net уже даже 3 заплатки от трёх авторов лежат

-~{}~ 20.07.05 13:20:

Вышла версия 2.0.17

Из изменений исправленна XSS а так-же несколько мелких багов...
 
Войдите или зарегистрируйтесь для ответа.
Сверху