PHP BB2嚴重漏洞 有使用的請注意一下 |
|
dotdot
版主 發表:29 回覆:142 積分:64 註冊:2002-08-09 發送簡訊給我 |
這個漏洞很嚴重,請儘速更新.駭客可以利用這個漏洞得到資料庫管理權限及瀏
灠、編輯、刪除、下載網站上的檔案。
12/21 一隻稱為 Santy 的網虫開始在網路上流竄.若您以 "NeverEverNoSanity
WebWorm Generation" 為關鍵字來搜尋, 就可找到被 crack 掉的站台.
Santy 它主要攻擊 phpbb2 在 viewtopic.php 的漏洞, 並且藉由 Google 來搜
尋可攻擊對象. 12/22 Google 已開始過濾此一網虫的搜尋. Santy 完全以 Perl 來撰寫, 程式碼只有 100 多列. phpBB2 是相當流行的討論版軟體,在 2.0.10 及之前的版本中的 viewtopic.php 使用 urldecode 這個函式,會造成安全漏洞,攻擊者可在編碼中夾入任何指令來執行。
請檢查您的 viewtopic.php: if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
$words = explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight'])))); 將它改成 if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
$words = explode(' ', trim(htmlspecialchars($HTTP_GET_VARS['highlight']))); 也就是拿掉 urldecode 這個函式。
請儘速更新,以免被駭客在您臉上吐口水。 http://free.tnc.edu.tw/modules/news/article.php?storyid=1634 =========================
~為了更簡單,必須更複雜~ 發表人 - dotdot 於 2004/12/23 09:31:50
|
本站聲明 |
1. 本論壇為無營利行為之開放平台,所有文章都是由網友自行張貼,如牽涉到法律糾紛一切與本站無關。 2. 假如網友發表之內容涉及侵權,而損及您的利益,請立即通知版主刪除。 3. 請勿批評中華民國元首及政府或批評各政黨,是藍是綠本站無權干涉,但這裡不是政治性論壇! |