[新聞]phpBB重大弱點通知2004.11.25日消息

phpBB Installation & Usage Support
phpBB 2 安裝於各類型作業平台之問題討論;外掛問題,請到相關版面依發問格式發表!
(發表文章請按照公告格式發表,違者砍文)

版主: 版主管理群

版面規則
本區是討論關於 phpBB 2.0.X 架設安裝上的問題,只要有安裝任何外掛,請到外掛討論相關版面按照公告格式發表。
(發表文章請按照公告格式發表,違者砍文)
主題已鎖定
夜楓
星球公民
星球公民
文章: 131
註冊時間: 2003-05-16 21:19

[新聞]phpBB重大弱點通知2004.11.25日消息

文章 夜楓 »

phpBB重大弱點通知

一、簡介:

PHPBB是一套免費的網頁論壇套件。這個軟體套件最近被發現兩個嚴重的弱點,並且技服中心監控到已經有入侵者使用這些弱點在進行攻擊。這些弱點都可以讓入侵者執行任意的系統指令,進而安裝後門取得整個系統的控制權。這兩個弱點分別為:PHPBB的highlight漏洞、以及PHPBB的admin_cash漏洞。

二、技術細節:

a.PHPBB的highlight漏洞

phpBB 2.0.10 的版本,其viewtopic.php程式對於highlight變數使用錯誤的函數來處理字串判斷,導致惡意的使用者可以使用highlight變數來下達系統指令,進而執行任意程式。

b.PHPBB的admin_cash漏洞

PHPBB 2.0.10以前的版本(包含2.0.10)其Cash_Mod模組存在輸入驗證上的弱點,可以讓惡意的使用者任意插入PHP檔案。並可以透過這一個PHP檔案來執行任意的系統檔案。

三、解決方法:

a.PHPBB的highlight漏洞

1.將PHPBB更新到2.0.11的版本。

2.若無法立即更新版本若,建議使用以下的方式修改程式碼來修正此一弱點。

找到以下的程式碼\r

代碼: 選擇全部

// 

// Was a highlight request part of the URI? 

// 

$highlight_match = $highlight = ''; 

if (isset($HTTP_GET_VARS['highlight'])) 

{ 

   // Split words and phrases 

   $words = explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight'])))); 

 

   for($i = 0; $i < sizeof($words); $i++) 

   {


將之改成以下的程式碼

代碼: 選擇全部

// 

// Was a highlight request part of the URI? 

// 

$highlight_match = $highlight = ''; 

if (isset($HTTP_GET_VARS['highlight'])) 

{ 

   // Split words and phrases 

   $words = explode(' ', trim(htmlspecialchars($HTTP_GET_VARS['highlight']))); 

 

   for($i = 0; $i < sizeof($words); $i++) 

   {

b.PHPBB的admin_cash漏洞

1.將PHPBB更新到2.0.11的版本。

2.若無法立即更新版本若,建議至以下的網址下載修正檔,並將修正檔安裝起來。

phpBB Group phpBB 1.0 .0:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 1.2 .0:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 1.2.1:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 1.4 .0:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 1.4.1:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 1.4.2:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 1.4.4:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 2.0 .0:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 2.0 RC4:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 2.0 RC3:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 2.0 RC2:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 2.0 RC1:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 2.0 Beta 1:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 2.0.1:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 2.0.2:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 2.0.3:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 2.0.4:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 2.0.5:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 2.0.6 d:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 2.0.6 c:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 2.0.6:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 2.0.7 a:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 2.0.7:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 2.0.8 a:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 2.0.8:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 2.0.9:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420



phpBB Group phpBB 2.0.10:

Xore Upgrade CashMod222.zip

http://www.phpbb.com/phpBB/catdb.php?mo ... &id=539420





四、參考資料:

http://securityfocus.com/bid/11701/ \r

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513
最後由 夜楓 於 2004-12-22 18:47 編輯,總共編輯了 3 次。
●架設主機作業系統:Windows XP SP2
●快速架站程式:appserv2.4.4a
●您的上網方式:Hinet 12M/1M
●phpBB2 版本:phpBB 2.0.20
回頂端
問題狂
竹貓忠實會員
竹貓忠實會員
文章: 1947
註冊時間: 2004-06-28 17:13

文章 問題狂 »

我都不知道說\r
感謝你的通知
回頂端
HKcities
星球普通子民
星球普通子民
文章: 22
註冊時間: 2004-02-14 01:26
來自: HKcities.COM
聯繫:
聯繫 HKcities

文章 HKcities »

我的討論區已經被一個叫ze3lock的會員入侵~~
應該怎樣解決呢~~
HKcities.COM 香港旅遊討論區
圖檔
回頂端
beck90237
星球普通子民
星球普通子民
文章: 6
註冊時間: 2004-09-28 13:22

文章 beck90237 »

謝謝通知這個消息\r
有空要趕快來去更新了...
回頂端
//=雪曼=\\
星球公民
星球公民
文章: 50
註冊時間: 2004-08-21 14:47
來自: //雪曼星系\\

文章 //=雪曼=\\ »

感謝你的通知~~~~
已經更新完了~~~~~
竹貓星球點擊率最高的連結--->這裡
回頂端
頭像
英明神舞
星球普通子民
星球普通子民
文章: 26
註冊時間: 2004-11-02 18:48
來自: hong kong
聯繫:
聯繫 英明神舞

[問題]漏洞

文章 英明神舞 »

●架設主機作業系統:Linux Red Hat 8.0
●快速架站程式:Apache Web Server 1.3.31 (Unix)
●空間連結: http://bb.kcy-games.com
●安裝的程式:MySQL 4.0.17 PHP 4.3.8
●phpBB2 版本:phpBB 2.0.10

多謝提供消息 , 但如果沒有安裝cash_mod , 是否就不需要更新修補程式呢???
英國首都在倫敦\r
明明不會是天津\r
神仙下凡將它變
舞在中華大笨鐘
回頂端
問題狂
竹貓忠實會員
竹貓忠實會員
文章: 1947
註冊時間: 2004-06-28 17:13

文章 問題狂 »

當然不用啦
回頂端
楊柳平澈
星球普通子民
星球普通子民
文章: 18
註冊時間: 2004-08-22 19:52
來自: 忘川
聯繫:
聯繫 楊柳平澈

文章 楊柳平澈 »

夜楓 寫:b.PHPBB的admin_cash漏洞

1.將PHPBB更新到2.0.11的版本。
2.若無法立即更新版本若,建議至以下的網址下載修正檔,並將修正檔安裝起來。
請問一下,我下載好後,要執行哪一個檔案呢?我的PHPBB版本是2.0.8a,檔案解壓縮後略覽一遍,還是有點摸不著頭緒Q口Q 莫非是要整個重新安裝cash mod嗎?
文學無非是人生與痛快,虛虛實實。
六月掬
回頂端
問題狂
竹貓忠實會員
竹貓忠實會員
文章: 1947
註冊時間: 2004-06-28 17:13

文章 問題狂 »

我想他的意思是說
把Cash Mod從2.21升級到2.22
回頂端
tom82612
星球公民
星球公民
文章: 123
註冊時間: 2003-10-10 17:17
來自: HK
聯繫:
聯繫 tom82612

文章 tom82612 »

謝~
圖檔
歡迎各位朋友加入任意論壇。

Now FH Is Having A Stock Market Race!
回頂端
頭像
zxcvbn
星球普通子民
星球普通子民
文章: 19
註冊時間: 2003-04-18 21:37
來自: Taiwan

文章 zxcvbn »

HKcities 寫:我的討論區已經被一個叫ze3lock的會員入侵~~
應該怎樣解決呢~~
我也遇到了這個情況.....
他會放一個叫phpspy的木馬到你的主機裡....然後透過它ooxxx..........

雖然我把木馬砍了....也把phpbb升級到2.0.11
但是還是怕怕的......因為我不懂駭客.......

不知道有沒有大大知道怎麼防止這類的木馬.............. :cry:
還有就是不知道駭客怎麼上傳木馬到主機上的......
希望有大大可以說明一下........
呆到不行.........
回頂端
rosekitchen
星球普通子民
星球普通子民
文章: 17
註冊時間: 2003-04-19 22:08

文章 rosekitchen »

請問我的是2.0.6版本\r
可是我沒有安裝cash mod
這樣也需要更新嗎?

我有把該檔案下載回來看
裡面有一大堆2.0.6沒有的檔案
而且都以cash為名..

是不是沒有安裝cash mod的人就不需要理會這個消息了?
回頂端
flower
星球公民
星球公民
文章: 272
註冊時間: 2004-08-31 21:03
來自: 火星
聯繫:
聯繫 flower

文章 flower »

您還是需要更新到 2.0.11 不然 highlight 部份還是有漏洞
只是您沒有裝 cash mod 所以不必更新 cash mod 的部份
回頂端
rosekitchen
星球普通子民
星球普通子民
文章: 17
註冊時間: 2003-04-19 22:08

文章 rosekitchen »

謝謝flower
我立刻改去..

(回應好快!非常感激!!)
回頂端
design
竹貓忠實會員
竹貓忠實會員
文章: 330
註冊時間: 2003-10-31 00:36
聯繫:
聯繫 design

文章 design »

zxcvbn 寫:
HKcities 寫:我的討論區已經被一個叫ze3lock的會員入侵~~
應該怎樣解決呢~~
我也遇到了這個情況.....
他會放一個叫phpspy的木馬到你的主機裡....然後透過它ooxxx..........

雖然我把木馬砍了....也把phpbb升級到2.0.11
但是還是怕怕的......因為我不懂駭客.......

不知道有沒有大大知道怎麼防止這類的木馬.............. :cry:
還有就是不知道駭客怎麼上傳木馬到主機上的......
希望有大大可以說明一下........
這種情況似乎和 phpbb無關.
您使用何種系統架站?

windows:
1. 您是否有設定 administrator 開機密碼\r
2. 您是否有裝防火牆軟體抵擋 port 135~445
其中含有NETBIOS等危險port.

Linux:
1. root密碼是否太過簡單\r
2. 是否有按時更新套件\r
3. 是否有使用iptable防火牆訂定嚴密規格\r

自我檢查一下吧 ;-)
回頂端
主題已鎖定

回到「phpBB 2 安裝與使用」