Punto informatico Network

Contenuto Default

phpBB inciampa nell'highlight

03/07/2005
- A cura di
Zane.
Archivio - Nuovo bug per phpBB. Secunia avverte: se sfruttato a dovere potrebbe permettere di prendere pieno controllo del server da remoto. Già pronti gli aggiornamenti.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

phpbb (1) , highlight (1) .

Valutazione

  •  
Voto complessivo 4.5 calcolato su 33 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

La celebre board open source phpBB è divenuta in pochi anni una delle web appliance più gettonate dalle realtà medie e piccole per realizzare forum e community.

L'applicazione però è stata più volte sotto i riflettori per alcune problematiche di sicurezza: l'ultima è emersa solo da pochi giorni, ed è subito stata classificata da Secunia come Highly Critical. phpBB.gif

Stando a quanto riportato da uno smanettone olandese, Ron van Daal, la funzionalità di evidenziazione utilizzata dalla pagina viewtopic.php in tutte le versioni precedenti alla 2.16 non valida correttamente il codice passato, permettendo addirittura di iniettare nella pagina generata codice PHP, e prendere quindi controllo dell'intero server.

Leonardo Burchi, responsabile tecnico per MegaLab.it, ha riferito che "l'aggiornamento non è assolutamente complesso. I dolori cominciano nel caso in cui il forum sia moddato, ovvero abbia funzionalità non ufficiali e quindi non direttamente supportate dalla community di phpBB. In questo caso l'upgrade richiede un intervento diretto sul codice PHP del forum, che spesso può risultare abbastanza tedioso, a causa del numero di modifiche da effettuare ad ogni cambio di versione."

"Pochi altri forum gratuiti pongono un attenzione così precisa e costante all'aspetto sicurezza" ci tiene comunque a precisare l'esperto.

In effetti nonostante le numerose falle emerse per questa board negli ultimi anni il team di sviluppo reagisce sempre con tempestività, rilasciando gli aggiornamenti a tempi di record.

Qualche rapida ricerca in rete ci ha permesso di trovare già alcuni exploit funzionanti: la versione 2.16, epurata dal problema è già disponibile qui mentre qui c'è il changelog e qui le istruzioni per aggiornare manualmente, operazione indispensabile in caso fossero installati molti mod.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.12 sec.
    •  | Utenti conn.: 89
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0