Ma svaki post koji nije vezan uz przenje CD-a i hakiranje hotmaila je dobrodosao
na ovom forumu :-)
phpBB je dosta velika aplikacija i normalno je da se takvi bugovi pronalaze. Siguran sam
da i u ostalim forumima ima dosta bugova...samo ih treba pronaci i exploitati :)

hehe i tebi dosadili

pa ne citaju ljudi opis


ma znam ja ali me nervira sto nestignu ni da ih zakrpe a vec iskoci nova ranjivos

evo sad i fool path disklojzr za 2.0.13

mislim meni nije bitno
nikada nisam radio deface
jer envidim korist
a pogotovu ne foruma

jedino da forume drugova obezbedim i to je to :)

Navodno je izasel i ponovno remote exec bug za phpbb 2.0.13, samo je 0day. Tak bar kazu na waraxe.us. Ja sam nasle isto par full path disclosure bugova ali mi ih je glupo objaljivati.

da

nije neka preterana korist od full path...
npr :

Fatal error: Maximum execution time of 30 seconds exceeded in C:\wampp2\htdocs\aaaa\includes\template.php(127) : eval()'d code on line 39


:))

Sto vise exploita to sigurniji sledeci phpBB...

Pokazalo se da je phpBB stvarno podobro bugovit. Nije on toliko ni velik koliko rupa nađu u njemu. Ne znam kako sa bugovima stoji onaj Invision Board, ali ja svakako nebi u phpbb ulago ;)

Invisinon nije free zato je za njega manje exploita, phpbb je mozda najrasireniji forum na internetu pa je logicno da najvise ljudi traze u njemu bugova...

Isto vazi i za M$ Winblows koji ja koristim... Linux ima toliko distribucija tako da za svaku nadju po par rupa, al kad bi postojala 3linuxa ili *nixa pa i oni bi ispali suplji ist kao M$.

Al da su bolji sto se kontrole tice, jesu...

huh

nisam neki obozavalac microsofta ali to sto ti pricas enma veze s vezom

distribucije linuxa sve uglavnom koriste iste pakete
samo razlicite verzije u zavisnosti od toga kad su izasle
tako da ako postoji greska u sendmail-u (lupam) u slackware-u
posoji verovatno i na ostalim distribucijama koje koriste isu verziju

Ali ne moraju biti na istoj arhitekturi, nisu sve distre LSB kompatibilne....

Heterogenost je puno veća.

Kad 90% ljudi bude koristilo 3-4 disitribucije koje budu imale binarno kompatibilne (dakle ne samo preko formalnih sučelja prema kernelu tipa POSIX), a za što je i napravljen valjda LSB, bit će i puno više generičkih exploita i malware-a....

Mislim da ova tema nije mesto za pocinjanje diskusije tipa Win vs Lin ili o bagovitosti
pomenutih sistema. Diskutuje se o phpbb.

@EArth

Pa donekle si u pravu. Ali nisu sve linux distribucije... kako da to kazem...?
Na istom stepenu razvoja... A i recimo ne linux nego *nix. Svaka verzija u sebi zadrzi nesto novo, a to nije uvek isto tako da se distribucije sve u svemu razlikuju(i ne razlikuju)...

@Shatt

OK sta je bugovitije? phpBB ili M$ ?

db je u pravu jednostavno softver je veliki i veoma popularan , tj najpopularniji forum.Sama cinjenica navodi na to da je njega da kazemo "najprotfitabilnije" exploitati i i u njemu traziti bugove.

Provociras? ;)
BTW: 90% ljudi i koristi 3-4 distre.
BTW2: linux software i malware nikako ne mogu biti u istoj recenici..... s/linux/windows/ vec bolje odgovara :-)

LSB je stara stvar...
"Mandrake 8.2, Red Hat 7.3, & SuSE 8.0 Linuxes now LSB Certified......Mike Angelo -- 14 August 2002 (C)"


Pozdrav...

da, phpbb je postao supalj kao sito.. svaka web aplikacija manje vise ima security bug-ove, ali ovo je vec previse.. svaki dan izbacuju nove revizije. Najsmesnije je sto debili od decurlije koji nisu nikada ni usli na admin panel imaju kompajlirane exploit-e i ruse sve sto nadju preko google-a ili krstarice...
IPB ili vBulletin u ruke. ;)

90% ljudi ne koristi 3-4 distre i tek možda tokom ove godine će većina njih biti LSB 2.0 compliant :>

A uostalom, nije poanta u postotku onih koji koriste koju distru, već postotku onih koji koriste linux. i 90% od 1.5% je malo da bi bilo atraktivno malware piscima.

Samo toliko da ne ostanem dužan :>

A što se tiče phpBB, on čini svetu trojku sa IE i sendmail ;)

Fora je i u tome da linux malware nativno nemre bas sljakati....

1. Linux useri su u pravilu educiraniji od windows usera, pa one forice sa
klikanjem na attach uglavnom ne pale.
2. Bas i ako user klikne na attach, koliko razorne posljedice mogu biti s
obzirom da to nitko nece raditi kao root.
3. Virusi na linuxu isto su slabo vidjena stvar - zato sto se vecina softwarea
distribuira kao source i zato sto ce si rijetko koji korisnik pokretati cudne
aplikacije pod root-om (koji je jedini nacin da zarazis sys).
4. Local/Internet zone sa kojima IE ima toliko problema ne predstavljaju
nikakav problem u linux browserima ;-)
5. Sve od navedenog ;-)

Zasto 90% od 1.5% (od kud ti ovih 1.5?)

Popularnost =//= Mnogo sigurnosnih propusta.
Kako to da je Apache popularniji od IIS-a, a IIS ima vise sigurnosnih propusta?
Naravno, ako je kod los, to ce se pre pokazati kod popularnijih programa...

Nego izasao 2.0.14 i doslo im i ovo da promene:

Removed version number from message body page in /admin (if user is not an admin)


heheh samo nekih 10 podverzija im je trebalo da provale da se tako moze saznati verzija ako je admin izbacio verzijy iz public footer-a

Zalosno je da svaki post koji u opisu ima "phpbb" dobije toliko puno "hitsa" :(((