Снимаю. Порчу.
С нами с 25.12.99
Сообщения: 1234
Рейтинг: 786
|
 Добавлено: 30/11/04 в 01:41 |
|
|
|
|
| |
Чингачгук, вождь красноглазых
С нами с 14.05.04
Сообщения: 4744
Рейтинг: 1824
|
| Добавлено: 30/11/04 в 01:47 |
Тоже мне, новость. Типа рекламы:
"phpBB - бесплатный security hole в каждом релизе!".
|
|
|
|
| |
[www]
С нами с 14.07.04
Сообщения: 1693
Рейтинг: 872
|
| Добавлено: 30/11/04 в 19:23 |
спасибо !
|
|
|
|
| |
$1.000.000
С нами с 19.07.01
Сообщения: 12055
Рейтинг: 2468
|
| Добавлено: 30/11/04 в 22:42 |
А что может случиться если не пропатчить?
|
|
|
|
| |
Чингачгук, вождь красноглазых
С нами с 14.05.04
Сообщения: 4744
Рейтинг: 1824
|
| Добавлено: 01/12/04 в 01:35 |
Если не пропатчить, и если у тебя php не в safe_mode - то любой может запускать на твоей машине любую команду под тем же акком, под которым работает апач.
P.S. Вообще - хорошее лишнее доказательство того, что "простота" программирования на PHP очень обманчива. Я, после того, как проблема была опубликована, посмотрел на код. Ну никакого там нету system или exec - есть только вот этот urldecode и ниже (что реально код исполняет) - preg_replace и substr. Казалось бы, при чем тут исполнение кода? Ну и некоторые, наверное, помнят эксплойт, когда можно было просто через URL вида хттп://сайт.com/<? echo '/etc/passwd'; ?> вытащить ваш файл с системными акками, ну или еще что такое проделать. Так что если у меня кто спросит "Сисхальт, за что ты так php не любишь?", у меня найдется много чего в ответ
|
|
|
|
| |
С нами с 07.06.00
Сообщения: 3516
Рейтинг: 1802
|
| Добавлено: 01/12/04 в 10:47 |
| Dr.Syshalt писал: | Тоже мне, новость. Типа рекламы:
"phpBB - бесплатный security hole в каждом релизе!".
|
ИМХО зря ты так категорично. Реально остальные движки форумов ничуть не менее дырявые. Только ПХПББ больше достается в силу своей бОльшей распространенности и доступности исходников. Колупни ПХПх -- вообще в ужас прийдешь.
|
|
|
|
| |
С нами с 18.08.04
Сообщения: 6376
Рейтинг: 4430
|
| Добавлено: 01/12/04 в 12:22 |
да просто почаще надо Securitylab читать вот и все
|
|
|
|
| |
С нами с 26.10.02
Сообщения: 151
Рейтинг: 148
|
| Добавлено: 02/12/04 в 00:29 |
да новость то старенькая уже... числа 11 вроде на багтраке проходила инфа... и давным давно прошел бум вскрытия форумов на пхпББ... и даже новый релиз пхпББ вышел с закрытием сией дырки...
|
|
|
|
| |
+ +
С нами с 17.08.04
Сообщения: 47
Рейтинг: 16
|
| Добавлено: 08/12/04 в 10:09 |
так что там с последней весрией форума, дырок нет?
Вот там что фигово косячек они сделли чтоб фаил настроек еще либо сам заливал либо он его зальет токо надо ему предоставить фтп. Раньше ничего такого не надобыло :-(
|
|
|
|
| |
[www]
С нами с 14.07.04
Сообщения: 1693
Рейтинг: 872
|
| Добавлено: 08/12/04 в 17:12 |
| AstraL писал: | | так что там с последней весрией форума, дырок нет? |
есть, только пока неизвестно какие именно ))
| AstraL писал: |
Вот там что фигово косячек они сделли чтоб фаил настроек еще либо сам заливал либо он его зальет токо надо ему предоставить фтп. Раньше ничего такого не надобыло :-( |
насколько помню там просто этот файл с настройками сам создаешь и кидаешь на фтп и все ок
|
|
|
|
| |
Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте! |
