Критическая ошибка в форумах phpbb

[Zorick]

акерская группа How Dark Security нашла ошибку в форумах phpbb всех версий, позволяющий удаленное выполнение произвольного кода. Так как это очень популярный форум, всем немедленно нужно профиксить данную ошибку, благо разработчики уже опубликовали решение проблемы.

Полная статья:

Эксплойт находится по адерсу: http://www.howdark.com/poc/phpbb2010_hl.phps - сохраняем данный файл у себя(допустим под именем phpbbbug), заходим на шелл и пытаемся его исполнить, проверяя безопасность вашего форума таким образом: php phpbbbug "http://www.вашсайт.ru/forum/" "ls -la" 120 (id ветки форума). В результате выполнения данной команды вы получите список папок и файлов на удаленном компьютере. Мне не стоит вам напоминать, что можно использовать вместо “ls –la”.

Решение данной проблемы можно найти по следующему адресу:

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513

Правда на английском... Но кто знает - разберется...

Взято отсюда

[Darhazer]

Да самое простое решение - скачать phpBB 2.0.11 :D

Иначе - есть критическая уязвимост и в vBulletin. Информация здесь

[demer]

Нихто не знает, во встроенном phpBB в PHp-Nuke данная уязвимость присутствует и есть ли патч до 2.0.11 для встроенного форума? :D А-то я что-то не нашёл.

[Holy_adMirAl]

Нихто не знает, во встроенном phpBB в PHp-Nuke данная уязвимость присутствует и есть ли патч до 2.0.11 для встроенного форума? :) А-то я что-то не нашёл.

;)

Тут ваще другая история...

Вроде вселенная одна, а галактики разные! (с) Я ;)

Короче phpBB by PHP-Nuke - это переработанная версия девелоперами из PHP-Nuke Team ;) (или как их там)

Вот они и выпускают патчики (выпускают?)

А phpBB Group к этому кастрату (в смысле форуме) отношения уже как бы и не имеет...т.е. код вроде их, а продукт - уже нет!

На счёт уязвимости - это ты на сайте нюки глянь ;)