Продукт: phpbb

Версия: 2.0.15 (и ниже)

Подвергшиеся файлы:
profile.php
search.php

Описание:
В сети появился эксплоид, позволяющий злоумышленнику произвести DoS атаку при помощи
многократных запросов к вашей БД. Дыры были найдены в Поиске, позволяющие обойти ограничения на запросы, и в регистрации пользователей на форуме, позволяющие так же обойти ограничения вводимые на форуме!

Код эксплоида не привожу, да бы было меньше пострадавших :batman:
Устранение: Включить в настройках форума графический код подтверждения при регистрации пользователей, возможность перегрузки ДБ в результате множественных запросов в версии 2.0.15 мало вероятно, т.к. там включена индексация поисковых слов!

как это можно осуществить? в настройках форума я не нашел такого пункта.

Jay а у вас phpbb или bbtonuke? если второе то обычно этот пунк не переведен и стоит пустой переключатель в конфигурации форума, если у вас версия форума выше 2.0.15 то беспокоится не о чем.

Soniks, форум у меня - phpBB 2.0.13. Обновить до 17 версии теперь страшно - я с таким трудом подредактировал тему, убрал некоторые баги, поставил быстрый ответ. Боюсь теперь, как бы это все не пришлось повторять...

Jay обновляйте форум в ручную лучше, инструкции есть в разделе "Безопасность".

Soniks, я, кажется, ошибся - у меня именно что BBtoNuke...
В админке форума написано следующее:
"Powered by phpBB 2.0.13 © 2001-2003 phpBB Group
phpBB port v2.0.7 based on Tom Nitzschner's phpbb port 2.0.6 upgraded to phpBB 2.0.7 standalone.
Ported and tested by:
Nuke Cops
BBtoNuke 2.0.7 by Nuke Cops"

Да и плюс, на сайте, где я скачивал, написано, что стоит BBtoNuke 2.0.13...
На этом форуме никак нельзя убрать этот баг?
И обязательно ли обновлять (хотя бы исходя из соображений безопасности) его. Уж очень не хочется...

читайте выше, ведь все написано!