|
|
[ degojs @ 23.12.2004. 08:53 ] @
|
| Šta je sad ovo, mislite - degojs o virusima? :)
Citat: Santy.a is something of a novelty - it creates a specially formulated Google search request, which results in a list of sites running vulnerable versions of phpBB.
http://www.kaspersky.com/news?id=156681162
Citat: Antivirus companies say the Santy worm, which searches Google for sites that use a vulnerable version of the phpBB bulletin board software, was spreading quickly and had already infected about 40,000 Web sites by Tuesday evening.
http://news.com.com/Google+squ...+worm/2100-7349_3-5500265.html
Brale, pa ovo nisu Sixpack Joe i familija mu, pa da ne znaju da se odbrane od virusa, u pitanju su serveri i administratori koji stvari rešavaju isključivo iz komandne linije :)
Dobar taj open source.
|
[ Gojko Vujovic @ 23.12.2004. 08:56 ] @
Komentiraš jednu liniju u phpBB i rešio si problem. Čik uradi to u windowsu.
[ degojs @ 23.12.2004. 08:58 ] @
Videli smo kako si je ti na vreme komentarisao :) Lepo pa pričaš na osnovu iskustva (za promenu) ili onako (po običaju)?
Sećate se one bajke što počinje nešto kao: "..milioni očiju koje mogu da vide problem i poprave ga pre.. bla, bla" ???
[ dinke @ 23.12.2004. 09:40 ] @
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=248046
Citat: Recently a serious exploitable issue was discovered in PHP (the scripting language in which phpBB, IPB, vB, etc. are written) versions prior to 4.3.10. The problematical functions include unserialize and realpath. phpBB (along with a great many other scripts including IPB, vB, etc.) use these two functions as a matter of course.
It has come to our attention that code has now been released which uses this exploit in PHP to obtain confidential information in phpBB. Such information includes data contained in phpBB's config.php file. We therefore recommend the following:
1) If you maintain your own server be sure to upgrade to the newest available release of PHP (both versions 4 and 5). Be aware that at this time phpBB 2.0.x has problems functioning under PHP5 without modification.
2) If you pay for hosting ensure you hosting provider has upgraded thier installation of PHP (again remember that phpBB 2.0.x and other scripts will not function under PHP5 without modification).
Please do not submit this PHP issue to our security tracker, it is beyond our control. Fixed versions of PHP do exist and as above we encourage you to ensure your system is running such a version. Equally please examine any "hacking" issues you have carefully to ensure they are not caused by this PHP problem (rather than phpBB). Remember, this is not a phpBB exploit or problem, it's a PHP issue and thus can affect any PHP script which uses the noted functions.
Prema tome, koliko sam ja ovo razumeo to je problem sa bugom u php-u a ne u phpbb-u. Dakle, instalira se poslednji php (za 4.x je 4.3.10) i nema problema. Nema razlike izmedju losih admina bez obzira koji sistem administriraju.
[ degojs @ 23.12.2004. 09:48 ] @
Dobro, nije problem u phpBB već u samom PHP. Još gore :)
Citat: Nema razlike izmedju losih admina bez obzira koji sistem administriraju.
Slažem se. I to što neki koriste skoro isključivo komandnu liniju ne čini ih boljim. [ littleboy @ 23.12.2004. 10:59 ] @
Citat: degojs:
Slažem se. I to što neki koriste skoro isključivo komandnu liniju ne čini ih boljim.
Ko je rekao da ih cini boljim ?
Komandna linija znantno olaksava posao, sto windozeri nikad nece razumjeti.
[ Palma @ 23.12.2004. 11:05 ] @
Jedan naš političar:
"Naš narod živi mnogo bolje ali to nikako da primeti."  [ Ivan Dimkovic @ 23.12.2004. 11:08 ] @
Zavisi za sta littleboy, zavisi za sta - za administraciju, mooozda - ali za razvoj softvera hm.. tesko ;)
Recimo, slucaj da je produktivnost u razvoju za jednu platformu koja koristi command-line alate vidno manja od produktivnosti u RAD okruzenjima. Dokazi su da taj deo projekta uvek kasni i uvek ima najvise "open issues" u odnosu na Win okruzenja, a ljudi koji rade na svim platformama su podjednako dobri.
Dakle... beh... :)
[ degojs @ 23.12.2004. 11:24 ] @
Citat: littleboy
Ko je rekao da ih cini boljim ?
Ono je bilo namenjeno Gojku :)
Inače, negde sam čuo da jedna slika vredi više nego 100 reči, al' ajd.. kako rekoh, imao sam ciljnu publiku :)
Citat: Komandna linija znantno olaksava posao
Inače ste čuveni po odličnim GUI alatima, pa te potpuno razumem.
Citat: sto windozeri nikad nece razumjeti.
a) Znaš ko je "windozer"? Linuxovci. Provereno više puta ovde na Advocacy.
b) Iako Windowsi dolaze sa dosta alata za komandnu liniju (programi, skripte; pogledaj Support/Tools folder na nekom Windows CD-u; a inače baš "windozeri" to i ne znaju), prava stvar, trač je, dolazi sa Monadom (Microsoft Shell). Nikad ne reci nikad. [ Leftist @ 24.12.2004. 02:26 ] @
Konzola je zakon. Ne kazem to kao neki iskusan Linux korisnik, posto to nisam, nego kao neko ko je i pod Windowsima ludeo sto je DOS pojavom 95-ice izmasakriran i ne moze se u njemu nista uraditi.
Dakle koristim Linux jer mi je lepo. Kome nije lepo, zabole me!
[ Dragi Tata @ 24.12.2004. 02:53 ] @
Citat: Leftist:
Dakle koristim Linux jer mi je lepo. Kome nije lepo, zabole me!
Dakle koristim Windows jer mi je korisno. Ko traži lepotu u operativnom sistemu može da koristi šta hoće. [ broker @ 24.12.2004. 10:24 ] @
Citat: Gojko Vujovic: Komentiraš jednu liniju u phpBB i rešio si problem. Čik uradi to u windowsu.
A sto bi to bio problem. Gledam bas sors phpBB-a pdo Windowsom i nikako mi nije jasno zasto pod Win ne bih mogao da mu komentarisem tu liniju. Cak ce i da radi pod Windows serverom. [ littleboy @ 24.12.2004. 13:17 ] @
Pa o administraciji sam ja i govorio.
Citat: Dragi Tata: Dakle koristim Windows jer mi je korisno. Ko traži lepotu u operativnom sistemu može da koristi šta hoće.
Pa to..
Ja koristim Linuks, konzolu, operu, gaim i slicno jer mi je to korisno, i radi mi dobro, zadovoljan sam, a ne zato sto je to linuks i open sors.
Po mom misljenju radi bolje, ali svako ima svoje misljenje i pravo na njega, tako da nema smisla da ja nekog ubjedjujem ili slicno...
Citat: degojs:
Inače ste čuveni po odličnim GUI alatima, pa te potpuno razumem.
Nije stvar u 'snazi' GUI alata pod Linuksom. RedHat, ili sad Fedora Core, ima mnogo dobre (bar sam tako cuo, ne koristim iste) GUI alate za konfiguraciju sistema, od konfiguracije misa, pa do wirelessa, raznih servisa i slicno ... i to radi dobro.
Mozda je meni navika iz starih dana, kad to bas i nije funkcionisalo kako treba.. da koristim konzolu, ali sumnjam.
Sjecam se prije u RedHetu nekom, 4.2 cini mi se ... da kad ako upalis onaj linuxconf ili kako se zvao skrsi se sve zivo ... pojave se greske na bootovanju nista ne radi i slicno, tad je stvarno taj gui bio dizaster.... sad je ok.
U svakom slucaju, meni je konzola skoro sve, i ne bi mogao da zamislim Linuks, to jest ne bih ga koristio da nema konzole definitivno.
[ Sundance @ 24.12.2004. 20:55 ] @
Ovaj je crv savrsen pokazatelj trenda da sto linux vise tezi mainstream da se sve cesce manifestiraju sigurnosni problemi, poglavito oni izrazeni za malware. Dragi linux zealoti, odakle vam **** tvrditi da linux nema problema sa virusima/crvima kad je jedan za 2 dana ****** nekoliko stotina tisuca sajtova? U ignoranciji, eto gdje.
Imate **** tvrditi da su ring3 bugovi na Windozima greska Windoza samih, a kad se isto dogodi na linux powered strojevima, to nema nikakve veze sa linuxom kao kernelom u uzem smislu, vec samo sa PHP-om. A to sto NT kernel ima 100 puta manje bugova nego linux kernel nitko ni ne spominje.
Osim toga, po mom misljenju ce, kako popularnost linuxa bude rasla, jos vise doci do izrazaja inherentna nesigurnost koju OSS koncept donosi (sto vise ljudi vidi kod, prije ce ih vise blackhata naci bug nego whitehata ispraviti, zato i danas postoji tona 0day exploita), a jos vise i prokletstvo koje donosi baziranje na C-u i losa implementacija istog u standardne biblioteke.
Windoze se protiv toga bori virtualizacijom (.NET), a linux nekim sugavim kernel/libc patchevima koji po defaultu ne dolaze skoro ni u jednoj od popularnijih distri i nisu kompatibilni unaprijed/unatrag za kernel.
Goodbye security...
edit by Dinke: Pripazi na rečnik
[ dinke @ 03.01.2005. 21:47 ] @
U poslednjem danu sada već stare godine, stigao je i demantij php tima da NeverEverSanity ima veze sa propustima u php kod-u.
www.php.net (prva vest na home page-u trenutno).
Citat: A Note on Security in PHP
[31-Dec-2004] PHP is a powerful and flexible tool. This power and flexibility comes from PHP being a very thin framework sitting on top of dozens of distinct 3rd-party libraries. Each of these libraries have their own unique input data characteristics. Data that may be safe to pass to one library may not be safe to pass to another.
A recent Web Worm known as NeverEverSanity exposed a mistake in the input validation in the popular phpBB message board application. Their highlighting code didn't account for double-urlencoded input correctly. Without proper input validation of untrusted user data combined with any of the PHP calls that can execute code or write to the filesystem you create a potential security problem. Despite some confusion regarding the timing of some unrelated PHP security fixes and the NeverEverSanity worm, the worm didn't actually have anything to do with a security problem in PHP.
...
[ Sundance @ 04.01.2005. 00:28 ] @
To je isto kao da MS negira da bug u IE ima ikakve veze sa MS VC++ kompajlerom :)
[ dinke @ 04.01.2005. 00:42 ] @
php tim nema ama baš nikakve veze sa phpbb forumom, tako da tvoja primedba apsolutno ne stoji. Lično nisam gledao u source phpbb-a ali očigledno je da je jedini način da se NeverEverSanity koristi preko phpb-a, tako da apsolutno verujem u ovu vest php tima.
Lično se bavim ničim vezano za ms, ali zamisli da neko napravi bušan forum software u asp-u, neko ga hakuje a vlasnik tog forum software-a okrivi microsoft. Eto to je to što se ovde dešava.
[ degojs @ 04.01.2005. 00:52 ] @
Nije to poenta dinke, već činjenica da je phpBB open source - znaš ono: milijarde ljudi koji gledaju kod i lako mogu da uoče i isprave propust..
[ Sundance @ 04.01.2005. 00:55 ] @
Citat: dinke: php tim nema ama baš nikakve veze sa phpbb forumom, tako da tvoja primedba apsolutno ne stoji.
Dakle, supalj phpBB nema nikakve veze sa PHP-om, a supljina u IE ima veze sa MS VC++ kompajlerom...zanimljivo.
Citat: Lično se bavim ničim vezano za ms, ali zamisli da neko napravi bušan forum software u asp-u, neko ga hakuje a vlasnik tog forum software-a okrivi microsoft. Eto to je to što se ovde dešava.
phpBB se vrti na PHP-u, tako da i on snosi dio krivice. Ovdje se još više dešava da linux zealoti govore o "naprednom sigurnosnom modelu linuxa koji ne dozvoljava sigurnosne propuste kao na windoze platformi". Malo morgen. [ degojs @ 04.01.2005. 01:17 ] @
Citat: dinke:
Lično se bavim ničim vezano za ms, ali zamisli da neko napravi bušan forum software u asp-u, neko ga hakuje a vlasnik tog forum software-a okrivi microsoft. Eto to je to što se ovde dešava.
E pa baš ti lično si demantovao vest kojom je otvorena tema (da je propust u phpBB) i uputio nas na sam PHP. Vidim ja, ne zna se kod tog open source modela ni koji pije, a ni koji plaća.. Ne zna se ni šta treba da se krpa.. lele.. :)
Da sam to ja napisao ispalo bi eto degojs, poznati MS fanatik, neće da vidi razliku između phpBB i PHP.
Jedna stvar ostaje: šuplje i to toliko da koriste Google da hakuju sajtove :) Potpuna automatizacija :) Najbolje da ugase Google i rešen problem, bar delomično :)) [ dinke @ 04.01.2005. 02:33 ] @
U pravu si degojs, ja sam lično stavio tu vest koju pominješ, da je problem propust u php-u koji se najlakše zloupotrebljava iz phpbb-a sa perl scriptićem.
Večeras sam video tu vest na php sajtu, i postavio je ovde, iako je u suprotnosti sa onom mojom tvrdnjom. Ko radi taj i greši, i ja gore rekoh da apslutno verujem php timu, međutim, kad malo bolje razmislim ...
Rešenje phpbb tim-a za problem (dok ne izađe nova verzija):
Code:
//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
$words = explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));
for($i = 0; $i < sizeof($words); $i++)
{
Replace with:
Code:
//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
$words = explode(' ', trim(htmlspecialchars($HTTP_GET_VARS['highlight'])));
for($i = 0; $i < sizeof($words); $i++)
{
Dakle samo jedna linija je problematična kako Gojko reče. Međutim ...
Nisam preterano zagledao onaj perl script (vidim da postoje neke verzije na defaced forumu, ali ovde je prošlo 3:30AM i stvarno me mrzi ...), ali ovaj bug gore sam po sebi ne može biti dovoljan da menja sve strane na serveru (asp, jsp, html ...) osim ako nije u pitanju i bag u php-u kojim se na neki način pridobijaju veće (root) privilegije, jer apache user koji po default-u izvršava php scripte nema privilegije da menja bilo šta na serveru, a perl script menja sve strane u defaced. Prema tome, biće da php tim ipak laže! [ Sundance @ 04.01.2005. 10:27 ] @
http://www.k-otik.com/exploits/20041225.PhpIncludeWorm.php
Citat: This worm does not have enough similarities with Santy, thus we renamed
this version to PhpInclude.Worm. It targets ANY .PHP page/script vulnerable to a remote file inclusion (programming) flaw [these vulnerabilities are independent from the PHP version, they result from common coding mistakes.
Ma tko još šiša phpBB :)
[ FormatC @ 21.01.2005. 23:49 ] @
Konzola je zakon!
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.
|