Vunerabilidad en los foros PhPBB !

El US-CERT ha advertido de un exploit hecho público, que se aprovecha de una vulnerabilidad en el script VIEWTOPIC.PHP usado por PhPBB.

PhPBB es un conocido paquete de código abierto, ampliamente utilizado para la creación de foros y sitios web. PHP, acrónimo de "PHP: Hypertext Preprocessor", es un lenguaje interpretado de alto nivel, y de código abierto, que se ejecuta en el servidor, y puede estar embebido en páginas HTML. Permite desarrollar páginas web dinámicas de una manera rápida y fácil, y es actualmente utilizado en millones de sitios.

El CERT confirma haber visto reportes de intentos de ataques realizados con dicho exploit, pero no ha comprobado la existencia de sistemas que hayan sido comprometidos.

Más información sobre esta vulnerabilidad fue publicada por el CERT en http://www.kb.cert.org/vuls/id/497400. El problema se produce porque VIEWTOPIC.PHP no filtra correctamente ciertas entradas con determinados parámetros.

Un parche para esta vulnerabilidad fue agregado a la versión 2.0.11, pero el mismo no resolvió adecuadamente el problema.

En diciembre de 2004, el gusano Santy.A se aprovechó de la misma vulnerabilidad para modificar en pocas horas cientos de miles de sitios de Internet, cambiando sus páginas por un mensaje con el texto "This site is defaced!!!" y "NeverEverNoSanity WebWorm generation".

El equipo de desarrollo de PhPBB ha realizado la versión 2.0.16 que corrige definitivamente este problema.

El US-CERT insta a todos los usuarios y administradores que utilicen PhPBB, a actualizarlo lo antes posible, descargando la última versión desde el siguiente enlace: http://www.phpbb.com/downloads.php


Relacionados:

Perl/Santy.A. Infecta sitios construidos con PhPBB
http://www.vsantivirus.com/santy-a.htm

Santy y Spyki amenazan a todos los sitios PHP
http://www.vsantivirus.com/25-12-04.htm

Vulnerability Note VU#497400 - phpBB viewtopic.php fails
to properly sanitize input passed to the "highlight" parameter
http://www.kb.cert.org/vuls/id/497400

  • 19 istifadəçi bunu faydalı hesab edir
Bu cavab sizə kömək etdi?

Uyğun məqalələr

Donde consigo idiomas plantillas para el foro Invision ?

Foro Invision Para lenguajes en español de los foros ver: http://www.spanishpacks.cjb.net/...