Добавлено: 20 май 2009, 20:24
В форумном движке SMF обнаружена серьёзная уязвимость, позволяющая злоумышленнику перезаписывать файлы на хосте.
Тем, кто пользуется SMF ветки 1.Х.Х (включая последнюю стабильную версию 1.1.8 ) рекомендуется
1. запретить загрузку аватаров пользователями
2. отключить функцию изменения размера аватара
3. проверить целостность файлов движка, в случае сомнений - полностью перезалить движок форума из дистрибутива. Как движок, так и остальные файлы (аватары и аттачи) проверить на наличие подстроки eval(base64_decode - при её наличии такие файлы рекомендуется удалить (в нативном движке таких нет).
4. Можете также проверить, не зарегистрирован ли на форуме пользователь с никнеймом krisbarteo. Если есть - к вам уже заглядывали - см. п.3. Если пользователям разрешено удалять аккаунты, можно не проверять - смысла мало - см. п.3
Проблему уязвимости также решает размещение файла .htaccess в директориях attachments и avatars следующего содержания
<Files *>
Order Deny,Allow
Deny from all
Allow from localhost
</Files>
php_flag engine Off
Перед размещением такого .htaccess - см. п.3
UPD: Опубликованы патчи и пофиксеные версии 1.1.9 и 2.0 RС1-1, до которых рекомендуется обновиться, предварительно проверив директории хоста на наличие вражеских шеллов .
Тем, кто пользуется SMF ветки 1.Х.Х (включая последнюю стабильную версию 1.1.8 ) рекомендуется
1. запретить загрузку аватаров пользователями
2. отключить функцию изменения размера аватара
3. проверить целостность файлов движка, в случае сомнений - полностью перезалить движок форума из дистрибутива. Как движок, так и остальные файлы (аватары и аттачи) проверить на наличие подстроки eval(base64_decode - при её наличии такие файлы рекомендуется удалить (в нативном движке таких нет).
4. Можете также проверить, не зарегистрирован ли на форуме пользователь с никнеймом krisbarteo. Если есть - к вам уже заглядывали - см. п.3. Если пользователям разрешено удалять аккаунты, можно не проверять - смысла мало - см. п.3
Проблему уязвимости также решает размещение файла .htaccess в директориях attachments и avatars следующего содержания
<Files *>
Order Deny,Allow
Deny from all
Allow from localhost
</Files>
php_flag engine Off
Перед размещением такого .htaccess - см. п.3
UPD: Опубликованы патчи и пофиксеные версии 1.1.9 и 2.0 RС1-1, до которых рекомендуется обновиться, предварительно проверив директории хоста на наличие вражеских шеллов .