Serieuze exploit in php

[Bee]

Lees deze twee aankondigingen even:

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=248046
http://www.phpbbstyles.com/viewtopic.php?t=1903

Er is nu al een script gemaakt om deze exploit in phpBB te gebruiken, ook in phpBB wordt deze functies namelijk gebruikt. Zorg dus dat php wordt bijgewerkt, of pas die code toe, die je kan vinden onder de tweede link.

[DaMnNaTiOn]

Zo, mijn forum is nu weer wat veiliger

[Rico]

Wat vebeter je nou eigenlijk aan je forum dit?

[RobinTown]

Wat vebeter je nou eigenlijk aan je forum dit?

veiligheid lijkt me. RT is geupdate

[eXo]

wtf. Helemaal geen zin in
Maar het moet maar...

[mosymuis]

Bedankt bee, ik was op de hoogte van de PHP bug, en vroeg me al af hoe dit te herstellen was binnen phpBB, voor zolang mijn hosting provider PHP niet zou opwaarderen. Die phpBBstyles mod doet het hem! Directe link: hier.

Overigens is dit opnieuw een serieuze bug, de inhoud van je config kan inderdaad achterhaald worden door mensen met (veel) kennis van zaken. Updaten dus, het liefste PHP, als dat niet mogelijk is phpBB.

[eXo]

Bedankt bee, ik was op de hoogte van de PHP bug, en vroeg me al af hoe dit te herstellen was binnen phpBB, voor zolang mijn hosting provider PHP niet zo opwaarderen. Die phpBBstyles mod doet het hem. Directe link: hier.

Overigens is dit opnieuw een serieuze bug, de inhoud van je config kan inderdaad achterhaald worden door mensen met (veel) kennis van zaken. Updaten dus, het liefste PHP, als dat niet mogelijk is phpBB.

Dank voor die link Mosymuis!

Op phpbbstyles.com stond dit ook maar als je vanaf die site copy paste zat voor alle regels een hekje. F&%king irritant

[jh0nny]

Bedankt, zal de boel ook maar even toepassen.

[superman5000]

oke ik had hem even toegepast.
maar nu is mijn host aan het update kan ik die fix gewoon in mijn code laten staan of moet ik die weghalen.

[ElbertF]

Gewoon laten staat natuurlijk

[Nursaniyem]

Zo te zien is het iets wat aanteraden is maar wat houd dit precies in?
Iets met veiligheid?

[jh0nny]

Zo te zien is het iets wat aanteraden is maar wat houd dit precies in?
Iets met veiligheid?

Zoiets, even vrij en snel vertaald.

Een serieuze fout is ontdekt in php bij de functie unserialize().
Die bug kan gebruikt worden om ernstige schade toe te brengen aan websites die deze functie gebruiken (phpbb dus ook).

Helaas gebruikt phpBB deze functie om data op te slaan in cookies, hackers/crackers en andere figuren die kwaad willen kunnen dus gebruik maken van de bestaande beveiligingslekken. (Net als IPB, vBulletin en vrijwel ieder ander php forum systeem).

Oplossing:

Update php zo snel mogelijk, als je zelf niet kunt updaten of als je daarvoor al je forum wilt beveiligen gebruik dan het volgende:

Let op: Deze oplossing is mijn idee, geen officiele oplossing van phpBB, het werkt op mijn eigen forum nu zo'n 24 uur en ik heb nog geen problemen gezien, het kan wel zo zijn dat er problemen ontstaan icm mods die je hebt geinstalleerd op je forum.

[Bas]

Mwa... Ik zou toch maar die fix op mijn fira toepassen

[mosymuis]

Gewoon laten staat natuurlijk

In theorie is PHP's eigen unserialize functie sneller dan die in de mod.

[eXo]

Moet hier geen stickie van gemaakt worden oid?

[mosymuis]

Zoals phpBB ook al aangaf is dit niet iets wat direct op phpBB slaat, dus vanzelfsprekend is dat niet. Nu er al exploits cirkuleren die specifiek voor phpBB geschreven zijn is het een ander vehaal, daarom dat ik hem nu idd sticky heb gemaakt.

[Kaza]

Heb net mijn hosting gebeld. Die gaven aan dat ik het sowiezo zelf moest patchen, omdat de scriptkiddie's heel gemakkelijk je forum leeg kunnen roven. Ik vrees ook dat dit niet de laatste aanpassing zal zijn!

[mosymuis]

Heb net mijn hosting gebeld. Die gaven aan dat ik het sowiezo zelf moest patchen

Onzin, dit is iets wat PHP aangaat, en geen phpBB. Dat er nu toevallig een onofficiële fix beschikbaar is is toeval, en dus niet vanzelfsprekend. In het zelfde geval had je er überhaupt niets aan kunnen doen. Daar komt nog bij dat andere PHP applicaties die unserialize() gebruiken ook misbruikt kunnen worden, zolang je host de nieuwste versie niet gebruikt.

[jh0nny]

Santy bestookt phpBB-websites

Op Viruslist.com wordt melding gemaakt van de worm Net-Worm.Perl.Santy.a die het gemunt heeft op phpBB-forums. Door gebruik te maken van een fout in de versies tot 2.0.11 van deze software, slaagt de worm erin alle asp-, php-, htm- en shtm-bestanden te overschrijven met zijn eigen code, waardoor de desbetreffende site 'defaced' wordt. Om nieuwe slachtoffers te vinden maakt deze worm gebruik van Google, wat voor deze zoekmachine de aanleiding geweest is om de queries afkomstig van deze malware te blokkeren. Het is overigens niet de eerste keer dat virussen gebruikmaken van zoekmachines om zichzelf te verspreiden.

Eerder al werden verschillende zoekdiensten belaagd door een variant van Mydoom die op zoek was naar nieuwe e-mailadressen. Nu de verspreiding van de worm tegengehouden wordt en de meeste fora een upgrade gekregen hebben is het volgens Roel Schouwenberg van Kaspersky Labs echter niet waarschijnlijk dat er een nieuwe variant van de Santy-worm zal opduiken, of dat deze indien hij toch verschijnt veel schade aan zal richten.

Las dit net, waarschijnlijk betreft dit hetzelfde gebeuren .. of niet?

[mosymuis]

Dat is nog steeds hetzelfde, ja.