В поставке открытого форума MyBB обнаружен вредоносный код

25.10.2011 17:49

В начале октября разработчики открытого форума MyBB опубликовали уведомление о наличии критической уязвимости в последней версии MyBB 1.6.4, выпущенной три месяца назад. Сегодня опубликованы подробности, указывающие на то, что уязвимость, позволяющая выполнить произвольный код PHP, была внесена злоумышленниками путем подмены архива с релизом форума на сервере загрузки.

По словам разработчиков, злоумышленники проникли в систему через неизвестную уязвимость в движке сайта, разработанном своими силами, но основанном на использовании сторонних открытых фреймворков. Разработчики считают, что проблема безопасности присутствует не в коде их CMS, который не распространяется публично, а в используемых внешних фреймворках. Подробности совершения взлома и время подмены архива неизвестны, поэтому разработчики рекомендуют срочно установить обновление для всех пользователей MyBB 1.6.4, загрузивших архив до 6 октября. Пользователям рекомендуется проверить файл index.php на наличие вредоносного кода и удалить директорию "install".

Уязвимы системы в файле index.php которых содержится строка:


   eval("\$loginform = \"".$templates->get("index_loginform")."\";".@$col[23]);

для блокирования вредоносного кода, данную строку следует заменить на:


   eval("\$loginform = \"".$templates->get("index_loginform")."\";");

С целью предотвращения подобных инцидентов в будущем, разработчики MyBB намерены начать распространение контрольных сумм для проверки целостности изначально опубликованных архивов. Контрольные суммы планируется распространять через сторонний сервер, чтобы исключить ситуацию, при которой злоумышленники могут подменить файлы с контрольными суммами. Второй вариант, который рассматривают разработчики MyBB - использование для организации загрузки релизов сетей доставки контента (CDN).

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/32128-mybb

Ключевые слова: mybb, security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (52)

1.1, OramahMaalhur (ok), 18:56, 25/10/2011 [ответить] [﹢﹢﹢] [ · · · ]	+8 +/–
Они используют eval? Извините, но закопать.

2.34, pavlinux (ok), 05:52, 26/10/2011 [^] [^^] [^^^] [ответить]	+5 +/–
Пользователям рекомендуется проверить сайт на наличие PHP. После обнаружения, сжечь, съесть, улететь в Чили, там нагадить и размазать по Андам.

3.61, sh (??), 08:10, 31/10/2011 [^] [^^] [^^^] [ответить]	+/–
Альтернатива?

4.62, arisu (ok), 11:19, 31/10/2011 [^] [^^] [^^^] [ответить]	+/–
> Альтернатива? чему?

1.2, Аноним (-), 18:57, 25/10/2011 [ответить] [﹢﹢﹢] [ · · · ]	+23 +/–
Шел 2011 год - разрабы MyBB взялись за контрольные суммы.

1.3, Аноним (-), 19:23, 25/10/2011 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Какие ещё контрольные суммы? man цифровая подпись.

2.9, Аноним (-), 20:06, 25/10/2011 [^] [^^] [^^^] [ответить]	–1 +/–
>man цифровая подпись. Аналог вроде md5sum -c ? Спасибо.

3.10, Аноним (-), 20:09, 25/10/2011 [^] [^^] [^^^] [ответить]	+1 +/–
> Аналог вроде md5sum -c ? Спасибо. Нет, цифровая подпись.

4.11, Аноним (-), 20:13, 25/10/2011 [^] [^^] [^^^] [ответить]	+2 +/–
>> Аналог вроде md5sum -c ? Спасибо. > Нет, цифровая подпись. Я о простоте использования.

5.12, Аноним (-), 20:18, 25/10/2011 [^] [^^] [^^^] [ответить]	+/–
Лучше сразу поясню. Алгоритм проверки контрольной суммы (хеша): 1) качаем тарбол 2) смотрим на оф. сайте, или чему мы там еще доверяем, хеш (или качаем текстовый файл с циферками) 3) md5sum Хотелось бы узнать преимущества использования цифровой подписи, и алгоритм ручной проверки. С пакетными манагерами итак вся понятно и автоматизировано.

6.18, dry (ok), 21:31, 25/10/2011 [^] [^^] [^^^] [ответить]	+2 +/–
Если действительно хочется узнать, а не просто потролить, то качаем Брюса Шнаера "Прикладная криптография". Глава 2. Основные элементы протоколов -> 2.6 Цифровые подписи.

7.21, BratSinot (?), 23:02, 25/10/2011 [^] [^^] [^^^] [ответить]	+/–
Если так, то уже проще md5sum запустить.

7.25, Аноним (-), 00:18, 26/10/2011 [^] [^^] [^^^] [ответить]

+/–

> Если действительно хочется узнать, а не просто потролить,
> то качаем Брюса Шнаера "Прикладная криптография".
> Глава 2. Основные элементы протоколов -> 2.6 Цифровые подписи.

Вот вы развели тут фигню, а всего-то надо было ответить что-то вроде

gpg --verify [[sigfile] [signed-files]]

Эх, никакого живого общения.

Профит по сравнению с md5sum при разовом применении отсутствует, ибо все равно нужно тянуть ключ. Некоторое удобство возникает лишь после импорта ключа. Ну про родные репы дистрибутива и не говорим - самое верное дело.

8.26, eigrad (ok), 01:34, 26/10/2011 [^] [^^] [^^^] [ответить]	+/–
Прочитал бы Шнаера Удобство тут не причем ... текст свёрнут, показать

9.35, Какаянахренразница (?), 06:40, 26/10/2011 [^] [^^] [^^^] [ответить]	+2 +/–
Достали вы со своими шнайдерами Нет, чтобы внятно ответить человеку Цифровая п... текст свёрнут, показать

10.37, Николайка (?), 09:28, 26/10/2011 [^] [^^] [^^^] [ответить]	+/–
Агга, агга а недавний скандал про подделку сертификатов у третей стороны я... текст свёрнут, показать

11.38, Аноним (-), 09:40, 26/10/2011 [^] [^^] [^^^] [ответить]	+/–
Нельзя взломать только совесть Да и то, лишь у некоторых С ... текст свёрнут, показать

11.39, Аноним (-), 10:55, 26/10/2011 [^] [^^] [^^^] [ответить]	+/–
Поэтому для проверки и удостоверения оригинальности ключа, в отличии от сертифик... текст свёрнут, показать

12.41, Аноним (-), 12:11, 26/10/2011 [^] [^^] [^^^] [ответить]	+/–
Понятия Доверие и безопасность ортогональны Удивлен Компрометация одного у... текст свёрнут, показать

13.51, Аноним (-), 23:09, 26/10/2011 [^] [^^] [^^^] [ответить]	+/–
С чего бы это Вас кто-то заставляет верить только одному Доверяйте только тем ... текст свёрнут, показать

10.47, Аноним (-), 15:00, 26/10/2011 [^] [^^] [^^^] [ответить]	+/–
Подлинность ключа цифровой подписи не гарантируется ни кем И я не думаю, что ав... текст свёрнут, показать

11.48, the joker (ok), 19:38, 26/10/2011 [^] [^^] [^^^] [ответить]	+/–
Гарантируется Только вот верить третьей стороне или нет, каждый решает сам Ну... текст свёрнут, показать

12.49, Аноним (-), 20:40, 26/10/2011 [^] [^^] [^^^] [ответить]	+1 +/–
Нед Подпись - лишь хеш, расшифрованный закрытым ключем Сертификат - это когда ... текст свёрнут, показать

13.57, arisu (ok), 12:34, 30/10/2011 [^] [^^] [^^^] [ответить]	+/–
поэтому не надо его там хранить, вот и всё а в принципе 8212 ничему не довер... текст свёрнут, показать

10.56, arisu (ok), 12:32, 30/10/2011 [^] [^^] [^^^] [ответить]	+/–
171 достали вы своей физикой нет, чтобы внятно ответить человеку, что трамвай... текст свёрнут, показать

9.46, Аноним (-), 14:51, 26/10/2011 [^] [^^] [^^^] [ответить]	+/–
Либо ты отвечаешь _тут_ и по сути вопроса, либо я засчитываю повторный слив пер... текст свёрнут, показать

1.4, anonymous (??), 19:24, 25/10/2011 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
> С целью предотвращения подобных инцидентов в будущем, разработчики MyBB намерены начать распространение контрольных сумм Т.е. в использовании eval они подвоха так и не заподозрили. Удач.

1.5, Аноним (-), 19:28, 25/10/2011 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Про git они наверно не слышали...

2.8, Аноним (-), 20:05, 25/10/2011 [^] [^^] [^^^] [ответить]	+/–
Через git нельзя распространять тарболлы.

3.17, Anonim (??), 21:04, 25/10/2011 [^] [^^] [^^^] [ответить]	+1 +/–
Через веб интерфейс спокойно можно скачать архив определенной версии.

4.31, Аноним (-), 03:39, 26/10/2011 [^] [^^] [^^^] [ответить]	–1 +/–
> Через веб интерфейс спокойно можно скачать архив определенной версии. И с новой версией git'а или интерфейса у него будет изменится чексумма, ага.

3.19, Andrey Mitrofanov (?), 21:32, 25/10/2011 [^] [^^] [^^^] [ответить]	+/–
> Через git нельзя распространять тарболлы. А подписанные исходники -- можно. Па-ра-докс!!

4.30, Аноним (-), 03:38, 26/10/2011 [^] [^^] [^^^] [ответить]	+/–
Кому они нужны россыпью? Софт распространяется тарболлами.

5.36, тигар (ok), 08:33, 26/10/2011 [^] [^^] [^^^] [ответить]	+/–
> Кому они нужны россыпью? Софт распространяется тарболлами. у СпецЫалистаф софт распространяется deb'ами

6.43, Аноним (-), 14:01, 26/10/2011 [^] [^^] [^^^] [ответить]	+/–
> у СпецЫалистаф софт распространяется deb'ами deb'ы это одноразовый мусор. Весь source-based живёт на тарболах, потому что их можно сохранять локально, миррорить и, собственно, проверять их чексуммы.

7.44, тигар (ok), 14:03, 26/10/2011 [^] [^^] [^^^] [ответить]	+/–
>> у СпецЫалистаф софт распространяется deb'ами > deb'ы это одноразовый мусор. Весь source-based живёт на тарболах, потому что их > можно сохранять локально, миррорить и, собственно, проверять их чексуммы. спасибо за просветление, но я в курсе.

7.50, Аноним (-), 20:43, 26/10/2011 [^] [^^] [^^^] [ответить]

+/–

>Весь source-based живёт на тарболах, потому что их
> можно сохранять локально, миррорить и, собственно, проверять их чексуммы.

Итак:
1) сохранять локально
2) миррорить
3) проверять чексумы

Что из перечисленного нельзя делать с бинарными пакетами?

7.58, arisu (ok), 12:36, 30/10/2011 [^] [^^] [^^^] [ответить]	+/–
> Весь source-based живёт на тарболах, потому что …кульхацкеры-сборщики-из-исходников cannot into VCS.

1.7, Аноним (-), 20:04, 25/10/2011 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Все отлично, пару проектов взломают - тысяча других о безопасности подумает(а часть может и усилит защиту, а не только подумает).

1.13, Аноним (-), 20:42, 25/10/2011 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>С целью предотвращения подобных инцидентов в будущем, разработчики MyBB намерены начать распространение контрольных сумм для проверки целостности изначально опубликованных архивов. >Контрольные суммы планируется распространять через сторонний сервер, чтобы исключить ситуацию, при которой злоумышленники могут подменить файлы с контрольными суммами. >Второй вариант, который рассматривают разработчики MyBB - использование для организации загрузки релизов сетей доставки контента (CDN). Эти люди не слышали про OpenPGP/GnuPG? Срочно им расскажите, а то бедные опять костыли городят.

2.22, Клыкастый (ok), 23:46, 25/10/2011 [^] [^^] [^^^] [ответить]	+1 +/–
Хромую лошадь можно не подковывать

2.59, arisu (ok), 12:37, 30/10/2011 [^] [^^] [^^^] [ответить]	+/–
> Эти люди не слышали про OpenPGP/GnuPG? тебе eval в коде ни на что не намекает?

1.20, delin (?), 21:41, 25/10/2011 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Больше похоже на преднамеренный "бекдор", чем на "они к нам залезли хз как, заменили хз как, и у нас нету инфы кто и когда", который был кем то спален.

1.24, Anon21 (?), 00:10, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Потому что, блин, скачивать надо из Git'а.

2.32, Аноним (-), 03:40, 26/10/2011 [^] [^^] [^^^] [ответить]	+1 +/–
> Потому что, блин, скачивать надо из Git'а. Не надо скачивать из git'а. Да и нельзя.

1.28, eigrad (ok), 03:08, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
блин... ни одного форума уязвимого найти не могу, мало слишком народу под раздачу попало %(

2.29, eigrad (ok), 03:19, 26/10/2011 [^] [^^] [^^^] [ответить]	+1 +/–
попадается много форумов с надписью "закрыто"... как будто их кто-то через этот бэкдор и позакрывал)

3.33, eigrad (ok), 04:23, 26/10/2011 [^] [^^] [^^^] [ответить]	+/–
а не, это просто я нуб. ТЫСЯЧИ ИХ

1.45, DFX (ok), 14:37, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>> Разработчики считают, что проблема безопасности присутствует не в коде их CMS, который не распространяется публично, а в используемых внешних фреймворках. ога, ога - "мы не знаем где дыра, но уж точно не у нас!". стоило бы всё таки сначала найти косяк и опубликовать, перед тем как воспевать security-trough-obscurity в своём закрытом коде и срать на "сторонние открытые фреймворки". как-то это лицемерненько выглядит от вроде как открытого проекта.

2.60, arisu (ok), 12:38, 30/10/2011 [^] [^^] [^^^] [ответить]	+/–
> ога, ога — «мы не знаем где дыра, но уж точно не у нас!». …"ведь мы умеем круто использовать eval!"

1.52, Аноним (-), 23:11, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Я один не понял, на зачем вообще там eval?

1.55, arisu (ok), 12:30, 30/10/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
eval. уносите, пациент неоперабелен.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: