URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 80988
[ Назад ]
Исходное сообщение
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено opennews , 25-Окт-11 18:56 
В начале октября разработчики открытого форума MyBB (http://www.mybb.com) опубликовали уведомление (http://blog.mybb.com/2011/10/06/1-6-4-security-vulnerabilit/) о наличии критической уязвимости в последней версии MyBB 1.6.4, выпущенной три месяца назад. Сегодня опубликованы (http://blog.mybb.com/2011/10/25/some-closure-on-the-1-6-4-se.../) подробности, указывающие на то, что уязвимость, позволяющая выполнить произвольный код PHP, была внесена злоумышленниками путем подмены архива с релизом форума на сервере загрузки.


По словам разработчиков злоумышленники проникли в систему через неизвестную уязвимость в движке сайта, разработанном своими силами, но основанном на использовании сторонних открытых фреймворков. Разработчики считают, что проблема безопасности присутствует не в коде их CMS, который не распространяется публично, а в используемых внешних фреймворках. Подробности совершения взлома и время подмены архива неизвестны, поэтому разработчики рекомендуют срочно...

URL: http://blog.mybb.com/2011/10/25/some-closure-on-the-1-6-4-se.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=32128

Содержание
Сообщения в этом обсуждении
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено OramahMaalhur , 25-Окт-11 18:56 
Они используют eval? Извините, но закопать.
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено pavlinux , 26-Окт-11 05:52 
Пользователям рекомендуется проверить сайт на наличие PHP.
После обнаружения, сжечь, съесть, улететь в Чили, там нагадить
и размазать по Андам.
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено sh , 31-Окт-11 08:10 
Альтернатива?
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено arisu , 31-Окт-11 11:19 
> Альтернатива?

чему?

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 25-Окт-11 18:57 
Шел 2011 год - разрабы MyBB взялись за контрольные суммы.
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 25-Окт-11 19:23 
Какие ещё контрольные суммы? man цифровая подпись.
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 25-Окт-11 20:06 
>man цифровая подпись.

Аналог вроде md5sum -c ? Спасибо.

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 25-Окт-11 20:09 
> Аналог вроде md5sum -c ? Спасибо.

Нет, цифровая подпись.

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 25-Окт-11 20:13 
>> Аналог вроде md5sum -c ? Спасибо.
> Нет, цифровая подпись.

Я о простоте использования.

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 25-Окт-11 20:18 
Лучше сразу поясню.
Алгоритм проверки контрольной суммы (хеша):
1) качаем тарбол
2) смотрим на оф. сайте, или чему мы там еще доверяем, хеш (или качаем текстовый файл с циферками)
3) md5sum

Хотелось бы узнать преимущества использования цифровой подписи, и алгоритм ручной проверки. С пакетными манагерами итак вся понятно и автоматизировано.

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено dry , 25-Окт-11 21:31 
Если действительно хочется узнать, а не просто потролить,
то качаем Брюса Шнаера "Прикладная криптография".
Глава 2. Основные элементы протоколов -> 2.6 Цифровые подписи.
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено BratSinot , 25-Окт-11 23:02 
Если так, то уже проще md5sum запустить.
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 26-Окт-11 00:18 
> Если действительно хочется узнать, а не просто потролить,
> то качаем Брюса Шнаера "Прикладная криптография".
> Глава 2. Основные элементы протоколов -> 2.6 Цифровые подписи.

Вот вы развели тут фигню, а всего-то надо было ответить что-то вроде

gpg --verify [[sigfile] [signed-files]]

Эх, никакого живого общения.

Профит по сравнению с md5sum при разовом применении отсутствует, ибо все равно нужно тянуть ключ. Некоторое удобство возникает лишь после импорта ключа. Ну про родные репы дистрибутива и не говорим - самое верное дело.

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено eigrad , 26-Окт-11 01:34 
Прочитал бы Шнаера. Удобство тут не причем.
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Какаянахренразница , 26-Окт-11 06:40 
Достали вы со своими шнайдерами. Нет, чтобы внятно ответить человеку.

Цифровая подпись лучше тем, что подлинность ключа гарантируется третьей стороной. Если нехорошие дяди вскроют сервер и внесут зло в распространяемый код, то нет никакой гарантии, что эти же дяди не подменят заодно и контрольные суммы на странице загрузки. А подписать пакет без сложных дополнительных телодвижений не получится. Вот как-то так...

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Николайка , 26-Окт-11 09:28 
Агга, агга ... а недавний скандал про подделку сертификатов у "третей стороны" я думаю все читали :) ... кароче нет ничего надежного :)
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 26-Окт-11 09:40 
Нельзя взломать только совесть. Да и то, лишь у некоторых. (С)
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 26-Окт-11 10:55 
> а недавний скандал про подделку сертификатов у "третей стороны" я думаю все читали :) ... кароче нет ничего надежного :)

Поэтому для проверки и удостоверения оригинальности ключа, в отличии от сертификатов, используется сеть доверия. А сертификат подписывается одним лицом. Об этом ещё в той новости писали.

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 26-Окт-11 12:11 
Понятия "Доверие" и "безопасность" ортогональны. Удивлен? Компрометация одного участника сети равнозначна коллапсу всей сети доверия.
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 26-Окт-11 23:09 
> Компрометация одного участника сети равнозначна коллапсу всей сети доверия.

С чего бы это? Вас кто-то заставляет верить только одному? Доверяйте только тем ключам, которые подписаны минимум тремя известными Вам людьми.

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 26-Окт-11 15:00 
> Цифровая подпись лучше тем, что подлинность ключа гарантируется третьей стороной.

Подлинность ключа цифровой подписи не гарантируется ни кем. И я не думаю, что авторы озаботятся наличием сертификата одного из доступных (платных?) root CA. Все описанные прелести к само-выданному ключику отношения не имеют.

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено the joker , 26-Окт-11 19:38 
> Подлинность ключа цифровой подписи не гарантируется ни кем.

Гарантируется. Только вот верить третьей стороне или нет, каждый решает сам.

> И я не думаю, что авторы озаботятся наличием сертификата одного из доступных (платных?) root CA.

Ну, это ... просто догадки.

> Все описанные прелести к само-выданному ключику отношения не имеют.

Да, само-выданный ключик где-то эквивалентен само-собранным контрольным суммам.

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 26-Окт-11 20:40 
>> Подлинность ключа цифровой подписи не гарантируется ни кем.
> Гарантируется. Только вот верить третьей стороне или нет, каждый решает сам.

Нед. Подпись - лишь хеш, расшифрованный закрытым ключем. Сертификат - это когда ключик (ну и прочий мусор), использованный для формирования подписи, подписан удостоверяющим центром. Т.о. возможно построение иерархии.

> Да, само-выданный ключик где-то эквивалентен само-собранным контрольным суммам.

Забавно смотрятся доморощенные репозитарии, для "надежной" установки из которых требуется предварительно скачать от-туда же и ключик. Хаксору, понятное дело, ничего не мешает положить рядом с распространяемым ПО и свой ключ.

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено arisu , 30-Окт-11 12:34 
> Забавно смотрятся доморощенные репозитарии, для «надежной» установки из которых требуется
> предварительно скачать от-туда же и ключик.

поэтому не надо его там хранить, вот и всё.

а в принципе — ничему не доверяй. ведь ничто не мешает хаксору упереть ключик прямо с машины девелопера.

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено arisu , 30-Окт-11 12:32 
> Достали вы со своими шнайдерами. Нет, чтобы внятно ответить человеку.

«достали вы своей физикой! нет, чтобы внятно ответить человеку, что трамвай ездит так: 'бжжжж-звяк-звяк!'»

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 26-Окт-11 14:51 
> Прочитал бы Шнаера. Удобство тут не причем.

Либо ты отвечаешь _тут_ и по сути вопроса, либо я засчитываю повторный слив (первый потерли).

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено anonymous , 25-Окт-11 19:24 
> С целью предотвращения подобных инцидентов в будущем, разработчики MyBB намерены начать распространение контрольных сумм

Т.е. в использовании eval они подвоха так и не заподозрили. Удач.

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 25-Окт-11 19:28 
Про git они наверно не слышали...
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 25-Окт-11 20:05 
Через git нельзя распространять тарболлы.
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Anonim , 25-Окт-11 21:04 
Через веб интерфейс спокойно можно скачать архив определенной версии.
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 26-Окт-11 03:39 
> Через веб интерфейс спокойно можно скачать архив определенной версии.

И с новой версией git'а или интерфейса у него будет изменится чексумма, ага.

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Andrey Mitrofanov , 25-Окт-11 21:32 
> Через git нельзя распространять тарболлы.

А подписанные исходники -- можно. Па-ра-докс!!

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 26-Окт-11 03:38 
Кому они нужны россыпью? Софт распространяется тарболлами.
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено тигар , 26-Окт-11 08:33 
> Кому они нужны россыпью? Софт распространяется тарболлами.

у СпецЫалистаф софт распространяется deb`ами

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 26-Окт-11 14:01 
> у СпецЫалистаф софт распространяется deb`ами

deb'ы это одноразовый мусор. Весь source-based живёт на тарболах, потому что их можно сохранять локально, миррорить и, собственно, проверять их чексуммы.

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено тигар , 26-Окт-11 14:03 
>> у СпецЫалистаф софт распространяется deb`ами
> deb'ы это одноразовый мусор. Весь source-based живёт на тарболах, потому что их
> можно сохранять локально, миррорить и, собственно, проверять их чексуммы.

спасибо за просветление, но я в курсе.

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 26-Окт-11 20:43 
>Весь source-based живёт на тарболах, потому что их
> можно сохранять локально, миррорить и, собственно, проверять их чексуммы.

Итак:
1) сохранять локально
2) миррорить
3) проверять чексумы

Что из перечисленного нельзя делать с бинарными пакетами?

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено arisu , 30-Окт-11 12:36 
> Весь source-based живёт на тарболах, потому что

…кульхацкеры-сборщики-из-исходников cannot into VCS.

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 25-Окт-11 20:04 
Все отлично, пару проектов взломают - тысяча других о безопасности подумает(а часть может и усилит защиту, а не только подумает).
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 25-Окт-11 20:42 
>С целью предотвращения подобных инцидентов в будущем, разработчики MyBB намерены начать распространение контрольных сумм для проверки целостности изначально опубликованных архивов.
>Контрольные суммы планируется распространять через сторонний сервер, чтобы исключить ситуацию, при которой злоумышленники могут подменить файлы с контрольными суммами.
>Второй вариант, который рассматривают разработчики MyBB - использование для организации загрузки релизов сетей доставки контента (CDN).

Эти люди не слышали про OpenPGP/GnuPG? Срочно им расскажите, а то бедные опять костыли городят.

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Клыкастый , 25-Окт-11 23:46 
Хромую лошадь можно не подковывать
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено arisu , 30-Окт-11 12:37 
> Эти люди не слышали про OpenPGP/GnuPG?

тебе eval в коде ни на что не намекает?

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено delin , 25-Окт-11 21:41 
Больше похоже на преднамеренный "бекдор", чем на "они к нам залезли хз как, заменили хз как, и у нас нету инфы кто и когда", который был кем то спален.
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Anon21 , 26-Окт-11 00:10 
Потому что, блин, скачивать надо из Git'а.
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 26-Окт-11 03:40 
> Потому что, блин, скачивать надо из Git'а.

Не надо скачивать из git'а. Да и нельзя.

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено eigrad , 26-Окт-11 03:08 
блин... ни одного форума уязвимого найти не могу, мало слишком народу под раздачу попало %(
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено eigrad , 26-Окт-11 03:19 
попадается много форумов с надписью "закрыто"... как будто их кто-то через этот бэкдор и позакрывал)
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено eigrad , 26-Окт-11 04:23 
а не, это просто я нуб. ТЫСЯЧИ ИХ
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено DFX , 26-Окт-11 14:37 
>> Разработчики считают, что проблема безопасности присутствует не в коде их CMS, который не распространяется публично, а в используемых внешних фреймворках.

ога, ога - "мы не знаем где дыра, но уж точно не у нас!".
стоило бы всё таки сначала найти косяк и опубликовать, перед тем как воспевать security-trough-obscurity в своём закрытом коде и срать на "сторонние открытые фреймворки". как-то это лицемерненько выглядит от вроде как открытого проекта.

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено arisu , 30-Окт-11 12:38 
> ога, ога — «мы не знаем где дыра, но уж точно не у нас!».

…"ведь мы умеем круто использовать eval!"

"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено Аноним , 26-Окт-11 23:11 
Я один не понял, на зачем вообще там eval?
"В поставке открытого форума MyBB обнаружен вредоносный код"
Отправлено arisu , 30-Окт-11 12:30 
eval. уносите, пациент неоперабелен.