Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Уязвимости | Форумы (forums) (http://forum.oszone.net/showthread.php?t=41546)

Greyman 03-08-2004 18:11 199564
Уязвимости | Ikonboard
 
Цитата:
Межсайтовый скриптинг в Ikonboard 2.1.9 RussianFullPack
Уязвимость в Ikonboard позволяет удаленному пользователю выполнить XSS нападение.

Не знаю какая версия стоит на форуме, но данная фишка на нем присутствует. Правда форому от этого побарабану, но пользователей форума это каснуться может...

Greyman 05-08-2004 11:21 199565
Цитата:
Изменение содержимого логов поиска с целью выполнение команд на сервере в Ikonboard 2.1.9 RussianFullPack форуме
Уязвимость в Ikonboard в search.cgi позволяет удаленному пользователю изменить содержимое логов поиска, чтобы выполнить произвольные команды на сервере.

Zx 22-11-2004 04:03 274604
Уязвимости | phpBB
 
В модуле Cash_Mod популярного форумного движка phpBB 2 несколько дней назад была обнаружена опасная уязвимость.
С помощью опубликованного в интернете эксплоита (http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513) удаленный атакующий имеет возможность выполнить на уязвимой системе собственный PHP-код таким образом: http://хост.жертвы/phpBB2/admin/admi...ст.атакующего/

Проблема в том, пишет ежедневное интернет-издание "Вебпланета", что на движке phpBB работает большое количество форумов в Рунете, и для их владельцев сегодняшний день стал настоящим кошмаром. Анализ логов показал, что банды российских хакеров с сегодняшнего дня уже вовсю начали использовать опубликованный эксплоит, который позволяет проникнуть в систему, получить пароли к базе данных, и скрыться незаметно для владельца форума.

Судя по всему, многие владельцы форумов на phpBB 2 до сих не осознали существующей опасности. Им нужно срочно закрыть доступ к форумам и оперативно устранить уязвимость - вчера была опубликована пропатченная версия phpBB 2.0.11 (http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240636). После этого можно посмотреть в логах, что успели утащить хакеры и при необходимости поменять пароли

ArtemD 24-11-2004 19:44 275086
Уязвимости | Invision Power Board
 
SQL инъекция в Invision Power Board
Цитата:
Цитата SecurityLab.ru
23 ноября 2004
Программа: Invision Power Board 2.х
Опасность: Высокая
Наличие эксплоита: Да
Описание: Уязвимость в Invision Power Board позволяет удаленному пользователю выполнить произвольные SQL команды на основной базе данных.
Уязвимость была обнаружена в результате автоматической проверки сканером безопасности Xspider 7.0.
Пример/Эксплоит:
http://site/forum/index.php?act=Post...f=2&t=1&qpid=1[sql_injection]
Result:

--------------------------------------------------------------------------
mySQL query error: select p.*,t.forum_id FROM ibf_posts p LEFT JOIN
ibf_topics t ON (t.tid=p.topic_id)
WHERE pid IN (1[sql_injection])

mySQL error: You have an error in your SQL syntax near '[sql_injection])' at
line 2
mySQL error code:
Date: Friday 12th of November 2004 06:53:25 PM
--------------------------------------------------------------------------
URL производителя: http://www.invisionboard.com/
Решение:Установите обновленную версию форума: http://forums.invisionpower.com/inde...owtopic=154916
-=источник и подробности=-

Greyman 28-01-2005 17:26 293100
Цитата:
Заплатки для PHP
PHP Group выпустила две заплатки, устраняющих уязвимости в интерпретаторе языка серверных сценариев PHP. Это версии 4.3.10 и 5.0.3 — сервисные выпуски, заменяющие 4.3.9 и 5.0.2.
...
Уязвимости ставят под угрозу безопасность пользователей множества популярных форумов, работающих на движках, написанных на PHP: PHPBB, Invision Board, vBulletin и других.
...

ArtemD 24-02-2005 11:04 301192
Просмотр и удаление произвольных файлов в phpBB форуме
Цитата:
Цитата SecurityLab.ru
22 февраля 2005
Просмотр и удаление произвольных файлов в phpBB форуме
Программа: phpBB 2.0.11
Опасность: Средняя
Наличие эксплоита: Нет
Описание: Уязвимость в phpBB форуме позволяет удаленному пользователю раскрыть содержание и удалять (unlink) произвольные файлы на системе с привилегиями Web сервера.
Уязвимость в phpBB в нескольких сценариях, отвечающих за обработку аватаров (usercp_avatar.php, usercp_viewprofile.php и usercp_register.php) позволяет удаленному пользователю контролировать параметры, переданные функции unlink().
Технические подробности см. в источнике сообщения.
URL производителя: http://www.phpbb.com
Решение:Установите обновленную версию форума (2.0.12): http://www.phpbb.com/downloads.php
-= источник =-

ArtemD 01-03-2005 08:34 302435
Удаленный административный доступ в phpbb форуме
Цитата:
Цитата SecurityLab.ru
Программа: Phpbb 2.0.12
Опасность: Критическая
Наличие эксплоита: Нет
Описание: Уязвимость в PhpBB позволяет удаленному пользователю обойти некоторые ограничения безопасности и получить административные привилегии на форуме.
...
URL производителя: http://www.phpbb.com
Решение:Обновите форум до 2.0.13
-= источник и подробности =-

ArtemD 09-06-2005 08:51 331274
Межсайтовый скриптинг в при обработке BBCODE URL в phpBB
Цитата:
Цитата SecurityLab.ru
Программа: phpBB версии до 2.0.15
Опасность: Низкая
Наличие эксплоита: Да
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.

Уязвимость обнаружена при обработке BBCODE URL в сценарии bbcode.php. Удаленный пользователь может с помощью специально сформированного сообщения выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:
...
URL производителя: www.phpbb.com

Решение: Установите последнюю версию (2.0.15) с сайта производителя.
-= источник и подробности =-


Время: 11:47.

Время: 11:47.
© OSzone.net 2001-