[Вопрос] баг faq

[hnj44289]

Наверное все уже знают об этом баге.
Установлен 3.8.7 pl4,уязвима и эта версия как оказалась.
Подскажите пожалуйста как можно пофиксить?

[Prometej]

Единственно что приходит на ум, так это удалить этот файл справки. Раз через него возможен взлом.

[hnj44289]

Prometej, Через чур радикальный метод)

[Prometej]

Почему? Этот файл есть в установочном дистрибутиве форума. Так что в случае нужды вернуть его на место дело пары секунд, зато на время пока будет найдено иное решение форум будет защищён. Или у Вас есть иное предложение? Оставить всё как есть?

[hnj44289]

Prometej, Нет,не оставлять.
Отфильтровать данные или что-то подобное.
А баг этот известен ещё давно,до выхода четвёртого патча

[Prometej]

Насколько я помню, совету удалять файл справки больше года.

[OlgaB]

Установлен 3.8.7 pl4,уязвима и эта версия как оказалась.

И в чём же заключается уязвимость?
А ещё в админке есть Резервное копирование базы данных - это тоже уязвимость?

Вы что, админку первому встречному даёте?

Я вам тогда ещё одну тайну открою: если есть доступ к админке - можно залить шелл. И тогда будет доступна не только БД, но и файлы форума.

Единственно что приходит на ум, так это удалить этот файл справки. Раз через него возможен взлом.

Стесняюсь спросить, но вы видео-то смотрели?

[Prometej]

Стесняться не нужно: я реально просмотрел только сейчас, после Ваших слов. USB модем, знаете ли. И трафик не безлимит. На моё счастье видео мало весит. Скачал себе на компьютер. Большое спасибо что поправили.

[Luvilla]

И в чём же заключается уязвимость?

мне вот тоже очень интересно...

Наверное все уже знают об этом баге.

конечно
если впихнуть в любую фразу содержимое database_ingo, выведется всё, как миленькое и на любой 4ке тоже
в чём новость?

при чём тут вообще faq? эту фразу можно впереть куда угодно

Я вам тогда ещё одну тайну открою: если есть доступ к админке - можно залить шелл.

угу...
вообще самая страшная тайна vBulletin: в админке сплошь уязвимость на уязвимости, куда ни глянь
ужас, ужас... )))

[hnj44289]

OlgaB, Уязвимость заключается в том что можно вывести данные для подключения к базе.
На счёт шелла - при граммотной настройке htaccess и прав не залить.
В админку можно зайти и по хэшу пароля,доступ давать не обязательно.

Luvilla, Однако в более поздних версиях нельзя,вопрос напрашивается - почему?
да потому что это всё таки уязвимость.

[Sven]

да потому что это всё таки уязвимость.

так если вы считаете, что это уязвимость - закрывайте её..кто-то мешает это делать?)

[Luvilla]

Уязвимость заключается в том что можно вывести данные для подключения к базе.

для того, чтобы заюзать эту "уязвимость", надо попасть в админку
зачем после этого радактировать какой-то фак? если можно слить себе БД и грохнуть весь форум?

да потому что это всё таки уязвимость.

я позволю себе не согласиться с этим
в админке таких мест - куча, и что?
меньше читайте форумов, ориентированных на кулхацкеров детсадовского возраста

На счёт шелла - при граммотной настройке htaccess и прав не залить.

поспорим?
настраивайте права и .хтаксесс и дайте мне ваш админский акк на пару минут

В админку можно зайти и по хэшу пароля,доступ давать не обязательно.

так вот побеспокоиться надо о том, чтобы к злоумышленнику не попал хэш пароля
ну и.. не буду утверждать, не помню с какой версии 4ки, по хэшу уже фик зайдёшь
и последнее - закрыть админку по ИП и по хттпасс - не?

[grisha2217]

Ставишь пароль на админку через .htaccess+ .htpasswd и нет проблем.

[OlgaB]

Уязвимость заключается в том что можно вывести данные для подключения к базе.

Это далеко не единственный способ вывести данные для подключения к БД.

Однако в более поздних версиях нельзя,вопрос напрашивается - почему?
да потому что это всё таки уязвимость.

Будьте любезны, назовите мне версию, в которой этого нет.

На счёт шелла - при граммотной настройке htaccess и прав не залить.

Миф.

В админку можно зайти и по хэшу пароля,доступ давать не обязательно.

Насколько я помню, то такое было в 4. И, вроде, до версии 4.1.5
И да, не помню насколько там реалистично было войти в админку, не разгадывая хЭш пароля)
Авторизоваться под админским акком - да, но, вроде бы, не в самой админке.

Чаще всего форумы взламывают из-за халатности админов.
Если уж озадачились "защитой форума", то:
1. Не ставьте кучу хаков. Если уж и поставили хак, то "мониторьте" тему с ним, т.к. хаки обновляют не только, когда добавляется функционал, но ещё и когда фиксят потенциальные уязвимости...
2. Следите за выходами патчей к движку. Если с чем-то "интегрировали", то и за другими движками следите. Собственно, следить за этим следует, если у вас на одном сервере несколько сайтов на разных движках.
3. Не включайте html на форуме. Не ставьте лёгкие пароли, защитите админку .htaccess .htpasswd, не забудьте удалить папку install.

И это, конечно, не панацея...

Не хочешь, чтобы сайт вломали - не создавай его (с) Админская мудрость.

Оффтоп

Есть у меня один знакомый - параноик. У него вообще на форуме админов нет :D
Если что-то и надо ему в админке поправить/поставить, то лезет в БД, ставит админскую группу и только после уже в админку...)))

Sven, Оффтоп

так если вы считаете, что это уязвимость - закрывайте её..кто-то мешает это делать?)

Подскажите пожалуйста как можно пофиксить?

[Sven]

OlgaB, Оффтоп

я видел, но раз человек не понимает, что ему сказали - пусть ищет :)