[重要]phpBB2 高危安全漏洞, 请各站长立即修复

PHPBB2.0.X相关的使用、安装等话题(只读)
User avatar
IOsetting
论坛管理员
论坛管理员
Posts: 3647
Joined: 2006-10-17 1:48

[重要]phpBB2 高危安全漏洞, 请各站长立即修复

Post by IOsetting » 2007-10-16 11:21

描述:
此漏洞并非phpBB2所致, 而是由Link MOD(友情链接外挂)引起, 所以只要您的站点安装了此插件, 您的站点就存在相当的危险. 普通游客可以通过sql注入得到管理员或论坛任意会员的密码MD5值, 如果密码不够复杂(长度>8, 包含大小写字母, 数字以及标点), 容易被人暴力破解还原出真实密码而导致论坛沦陷.

涉及:
cnphpbb 发布的 phpBB2 MOD (所有版本)
phpbbchina 发布的 phpBBXS (所有版本)
所有安装过Link MOD的phpBB2论坛

解决方案:
使用phpbbxs0411, 并且未再修改过links.php的用户, 请下载本站已经更新过的phpbbxs0411安装文件, 解压后, 使用其中的links.php覆盖论坛下的同名文件
其他用户: 请打开 links.php, 找到

Code: Select all

$start = ( isset($HTTP_GET_VARS['start']) ) ? $HTTP_GET_VARS['start'] : 0;
改成

Code: Select all

$start = ( isset($HTTP_GET_VARS['start']) ) ? intval($HTTP_GET_VARS['start']) : 0;
找到

Code: Select all

       $cat = ( isset($HTTP_POST_VARS['cat']) ) ? $HTTP_POST_VARS['cat'] : $HTTP_GET_VARS['cat'];
改成

Code: Select all

       $cat = ( isset($HTTP_POST_VARS['cat']) ) ? intval($HTTP_POST_VARS['cat']) : intval($HTTP_GET_VARS['cat']);

User avatar
土老耄
技术组成员
技术组成员
Posts: 1441
Joined: 2006-11-18 8:17

Re: [重要]phpBB2 高危安全漏洞, 请各站长立即修复

Post by 土老耄 » 2007-10-16 11:24

那是不是代表xs0411所改的也就是上面的代码? :?

User avatar
IOsetting
论坛管理员
论坛管理员
Posts: 3647
Joined: 2006-10-17 1:48

Re: [重要]phpBB2 高危安全漏洞, 请各站长立即修复

Post by IOsetting » 2007-10-16 11:29

土老耄 wrote:那是不是代表xs0411所改的也就是上面的代码? :?
:P ei, 是的

User avatar
土老耄
技术组成员
技术组成员
Posts: 1441
Joined: 2006-11-18 8:17

Re: [重要]phpBB2 高危安全漏洞, 请各站长立即修复

Post by 土老耄 » 2007-10-16 11:39

谢谢!俺家其中的一个论坛装了一个类似在后台观察会员在
某活跃的情况,结果发现有个Admin在某个时间内登陆过。
俺家的管理员大为紧张,因为他从来没用过那个ID来登陆。
估计就是Admin的密码被破解了。希望就是这个原因。 :grin:

User avatar
aeou
技术组成员
技术组成员
Posts: 103
Joined: 2007-01-26 9:24

Re: [重要]phpBB2 高危安全漏洞, 请各站长立即修复

Post by aeou » 2007-10-16 20:06

土老耄老兄你也中招了啊,呵呵
偶是今天看到邮件提醒赶快来升级的,已经修改了论坛代码
对IOsetting兄的热心帮忙再次表示感谢!
http://www.btonline.com.cn,一个针对金融集成行业的技术、业务论坛,欢迎大家过来坐坐!

newerby
论坛管理员
论坛管理员
Posts: 1293
Joined: 2006-11-10 2:20

Re: [重要]phpBB2 高危安全漏洞, 请各站长立即修复

Post by newerby » 2007-10-17 10:15

吃惊!海龟论坛这样的大论坛也在用这个 MOD 。用 MOD名称及版本号来搜索,很多去掉页脚 phpbb、 cnphpbb 及 phpbbchina 文字说明的论坛还是被爆漏出来,大家还是想办法把解决这个漏洞的修改方法尽可能地告知各位站长,以避免恶意者肆意用这个漏洞做破坏!

密码复杂些还是非常重要的基本常识。

User avatar
ifubo
界面组成员
界面组成员
Posts: 438
Joined: 2006-10-26 17:46

Re: [重要]phpBB2 高危安全漏洞, 请各站长立即修复

Post by ifubo » 2007-10-23 18:44

上周就装上了
忘了来言谢

IO老大实在是大好人,坛子里的人都应该收到IO老大的短信了吧

实在感谢

同时严重鄙视
http://www.btonline.com.cn

明明用的就是phpbbchina的版本
不注明phpbb也就算了,连phpbbchina也去了。。
这。。。。。
俺是一只大大大菜鸟......想要飞却怎么样也飞不高.....
支持phpbb,支持phpbbchina

User avatar
土老耄
技术组成员
技术组成员
Posts: 1441
Joined: 2006-11-18 8:17

Re: [重要]phpBB2 高危安全漏洞, 请各站长立即修复

Post by 土老耄 » 2007-10-24 3:43

ifubo wrote:同时严重鄙视
http://www.btonline.com.cn

明明用的就是phpbbchina的版本
不注明phpbb也就算了,连phpbbchina也去了。。
这。。。。。
看到btonline的左导航栏里面有phpBB和phpBBChina的logo链接,
估计aeou站长是没弄清楚copyright和鸣谢的定义而并非有意隐瞒。
再说了,aeou也是phpBBChina技术成员之一,咱们先别着急鄙视,
先弄清楚以免伤害了大家的感情。

aeou站长将页脚加上小小的:Special thanks to "phpbb & phpBBChina" 应该也不是个难事吧? :redface:

User avatar
IOsetting
论坛管理员
论坛管理员
Posts: 3647
Joined: 2006-10-17 1:48

Re: [重要]phpBB2 高危安全漏洞, 请各站长立即修复

Post by IOsetting » 2007-11-10 18:42

和谐.. 要和谐 :grin: , 都是熟人, 你们要改都没关系. 有时候去掉页脚是避免被误黑的一种办法, 可以理解(已经在竹猫被批过, 但是我觉得这个挺有道理的).


更新了顶楼的内容, 又新增了另一个漏洞, 请尽快修改.

User avatar
fanisky
技术组成员
技术组成员
Posts: 510
Joined: 2007-04-15 15:03

Re: [重要]phpBB2 高危安全漏洞, 请各站长立即修复

Post by fanisky » 2007-11-10 22:00

:twisted:

谁有空用该方法破解下我的坛子,看看是否能承受。。。。。

ps,要告诉我结果哦

再ps:补丁我暂时不打

User avatar
土老耄
技术组成员
技术组成员
Posts: 1441
Joined: 2006-11-18 8:17

Re: [重要]phpBB2 高危安全漏洞, 请各站长立即修复

Post by 土老耄 » 2007-11-11 3:26

fanisky wrote::twisted:

谁有空用该方法破解下我的坛子,看看是否能承受。。。。。

ps,要告诉我结果哦

再ps:补丁我暂时不打
已经将你的要求提交了给黑客大联盟....希望你每天都有做备份.... ;)
呕对了!这些天你的服务器会比较忙...因为大家都在试...可能会受到类似DDos之类的攻击...
别怕,那些都是快速刷屏,在找你的密码涅.... :P

User avatar
fanisky
技术组成员
技术组成员
Posts: 510
Joined: 2007-04-15 15:03

Re: [重要]phpBB2 高危安全漏洞, 请各站长立即修复

Post by fanisky » 2007-11-11 8:12

;) 欢迎光临

User avatar
ifubo
界面组成员
界面组成员
Posts: 438
Joined: 2006-10-26 17:46

Re: [重要]phpBB2 高危安全漏洞, 请各站长立即修复

Post by ifubo » 2007-11-11 8:28

fanisky兄用的也是外國空間麽???
爲什麽你的主頁和壇子現在我都無法訪問到了,而以前是可以的
已取消到该网页的导航
您可以尝试以下操作:
刷新该网页。
俺是一只大大大菜鸟......想要飞却怎么样也飞不高.....
支持phpbb,支持phpbbchina

User avatar
fanisky
技术组成员
技术组成员
Posts: 510
Joined: 2007-04-15 15:03

Re: [重要]phpBB2 高危安全漏洞, 请各站长立即修复

Post by fanisky » 2007-11-12 0:57

不会吧,你搞错了吧

正宗网通空间呢,会不会是你的线路有问题啊

User avatar
IOsetting
论坛管理员
论坛管理员
Posts: 3647
Joined: 2006-10-17 1:48

Re: [重要]phpBB2 高危安全漏洞, 请各站长立即修复

Post by IOsetting » 2007-11-12 18:56

fanisky wrote::twisted:
谁有空用该方法破解下我的坛子,看看是否能承受。。。。。
ps,要告诉我结果哦
再ps:补丁我暂时不打
前一个补丁要是不打那就太容易被破了,
第二个不打的话, 容易被人搞到mysql崩溃

Locked