Forum. MyNuke.ru
Forum. MyNuke.ruСообщения за сегодняПерсональные сообщения

Навигация  
Вернуться   Forum. MyNuke.ru > PHP-NUKE > Безопасность > Уязвимости Защиты
Ник
Пароль
Ответ
 
Опции темы Поиск в этой теме Опции просмотра
Soniks вне форума      Старый phpBB Множественная регистрация на портале! #1  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
24.06.2005, 19:13

Продукт: phpbb

Версия: 2.0.15 (и ниже)

Подвергшиеся файлы:
profile.php
search.php

Описание:
В сети появился эксплоид, позволяющий злоумышленнику произвести DoS атаку при помощи
многократных запросов к вашей БД. Дыры были найдены в Поиске, позволяющие обойти ограничения на запросы, и в регистрации пользователей на форуме, позволяющие так же обойти ограничения вводимые на форуме!

Код эксплоида не привожу, да бы было меньше пострадавших
Устранение: Включить в настройках форума графический код подтверждения при регистрации пользователей, возможность перегрузки ДБ в результате множественных запросов в версии 2.0.15 мало вероятно, т.к. там включена индексация поисковых слов!

Последний раз редактировалось Soniks, 26.06.2005 в 21:23.
 
"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".


Jay вне форума      Старый #2  
Аватара для Jay
Jay
Участник
Регистрация: 11.10.2005
Сообщения: 58


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Jay Найти все сообщения от Jay Добавить Jay в список друзей  
12.10.2005, 00:18

как это можно осуществить? в настройках форума я не нашел такого пункта.

Soniks вне форума      Старый #3  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
12.10.2005, 00:59

Jay а у вас phpbb или bbtonuke? если второе то обычно этот пунк не переведен и стоит пустой переключатель в конфигурации форума, если у вас версия форума выше 2.0.15 то беспокоится не о чем.
 
"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".


Jay вне форума      Старый #4  
Аватара для Jay
Jay
Участник
Регистрация: 11.10.2005
Сообщения: 58


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Jay Найти все сообщения от Jay Добавить Jay в список друзей  
12.10.2005, 09:49

Soniks, форум у меня - phpBB 2.0.13. Обновить до 17 версии теперь страшно - я с таким трудом подредактировал тему, убрал некоторые баги, поставил быстрый ответ. Боюсь теперь, как бы это все не пришлось повторять...

Soniks вне форума      Старый #5  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
12.10.2005, 12:14

Jay обновляйте форум в ручную лучше, инструкции есть в разделе "Безопасность".
 
"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".


Jay вне форума      Старый #6  
Аватара для Jay
Jay
Участник
Регистрация: 11.10.2005
Сообщения: 58


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Jay Найти все сообщения от Jay Добавить Jay в список друзей  
12.10.2005, 16:51

Soniks, я, кажется, ошибся - у меня именно что BBtoNuke...
В админке форума написано следующее:
"Powered by phpBB 2.0.13 © 2001-2003 phpBB Group
phpBB port v2.0.7 based on Tom Nitzschner's phpbb port 2.0.6 upgraded to phpBB 2.0.7 standalone.
Ported and tested by:
Nuke Cops
BBtoNuke 2.0.7 by Nuke Cops"

Да и плюс, на сайте, где я скачивал, написано, что стоит BBtoNuke 2.0.13...
На этом форуме никак нельзя убрать этот баг?
И обязательно ли обновлять (хотя бы исходя из соображений безопасности) его. Уж очень не хочется...

Soniks вне форума      Старый #7  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
12.10.2005, 20:20

читайте выше, ведь все написано!
 
"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".


Ответ


Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB-коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Небольшая уязвимость user level phpBB 2.0.13 Soniks Уязвимости Защиты 1 13.06.2008 22:16
phpBB BBCode IMG Тег - Инъекция кода! Soniks Уязвимости Защиты 8 23.02.2007 03:52
phpbb и phpnuke Armee Установка Модулей 14 27.08.2006 01:17
Обновляем форум phpBB 2.0.11 до 2.0.12 Soniks Безопасность 38 23.06.2005 23:18
Обновляем форум phpBB 2.0.14 до 2.0.15 BriaN Безопасность 2 22.05.2005 23:17


Часовой пояс GMT +4, время: 09:29.


На Верх
Рейтинг@Mail.ru