gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Bug grave no PHP-Nuke
Contribuído por BladeRunner em 20-01-02 17:57
do departamento bugento
php Foi descoberto um bug grave de segurança no PHP-Nuke que permite executar código remotamente, confome relatado aqui na securityfocus.
AFAIK, apenas foi submetido um patch para a versão 5.4 (a mais recente com poucos dias), pelo que coloquei aqui uma proposta de correcção para as versões anteriores que utilizam o mesmo bloco de código atendendo a que há vários PHP-Nukes em .pt
Ideias para um hack mais bem feito ?

O Fantastico Robert Hanssen | Fim dos X-Files  >

 

gildot Login
Login:

Password:

Referências
  • aqui
  • aqui
  • Mais acerca php
  • Também por BladeRunner
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Correção do bug @ startux.org (Pontos:2, Esclarecedor)
    por crash em 20-01-02 18:34 GMT (#2)
    (Utilizador Info)
    "No ficheiro index.php, no bloco que começa por
    if ($file != "") {
    deve substiuir-se a expressão
    if (!@file($file) OR (eregi("..",$file))) {
    por
    if (!@file($file) OR (eregi("..",$file)) OR
    eregi("http://",$file))) {"

    e se for de "https://" ou de "ftp://" ?

    Eu grepei o código do phpnuke v5.2, e nunca axei uma referencia a "index.php?file=" logo resolvi comentar todo o codigo no index.php ke faz tratamendo da variável $file.

    Mas uma outra solução breve e funcional é esta:

    no index.php procurem por estas linhas de codigo

    include("counter.php");
    include("$file");

    substituam-nas por estas:

    include("counter.php");
    if (ereg(":", $file)) {
          echo "Este bug foi corrigido!";
          die();
    }
    include("$file");

    Se a variavel $file tiver ":" e provavel ke seja "http://" ou "https://" ou "ftp://", logo die()

    ;)

    Bem hajam!

    Re:Correção do bug @ startux.org (Pontos:2)
    por Gamito em 20-01-02 20:40 GMT (#4)
    (Utilizador Info) http://www.startux.org/
    Eu grepei o código do phpnuke v5.2, e nunca axei uma referencia a "index.php?file=" (...)

    Mas pelo menos o 5.3.x tem.
    Bem, também acabei por comentar o código...

    Mário Gamito
    "Make everything as simple as possible... but not simpler"
    Albert Einstein
    Re:Correção do bug @ startux.org (Pontos:2)
    por Gamito em 20-01-02 21:11 GMT (#8)
    (Utilizador Info) http://www.startux.org/
    Nesse caso, pode ter-se:

    if (!@file($file) OR (eregi("\.\.",$file)) OR (eregi(":", $file))) {

    Mário Gamito
    "Make everything as simple as possible... but not simpler"
    Albert Einstein
    Sugestão para quem não queira mexer no código... (Pontos:2)
    por pls em 21-01-02 0:46 GMT (#12)
    (Utilizador Info) http://pls.mrnet.pt
    Eu sugiro antes uma abordagem mais global, dado que para quem não audite código das aplicações que corre este tipo de problemas afecta vários "pacotes" populares :

    * no php.ini façam o disable da feature que permite executar php a partir de servidores remotos:

    allow_url_fopen = Off

    Todas as aplicações que utilizam chamadas a ficheiros de php algures no URL ou em variaveis são terrivelmente perigosas de qualquer forma e devem ser auditadas com cuidado.

    Para quem estiver com vontade/necessidade de procurar problemas nas aplicações que corre sugiro:

  • Texto sobre problemas comuns a procurar no código
  • Um bom apanhado relativamente aos problemas de segurança relacionados com php (e não só... alguns problemas são os mesmos em perl e asp)

    PLS
  • Re:Sugestão para quem não queira mexer no código.. (Pontos:1)
    por gawen em 22-01-02 12:48 GMT (#26)
    (Utilizador Info)
    o segundo link (que me interessava especialmente) devolveu-me um 'saboroso' "404 - File Not Found"
    Eles andem ai.. (Pontos:2, Interessante)
    por NeVErMinD em 21-01-02 0:45 GMT (#11)
    (Utilizador Info)
    Viva
    A slash team tambem mandou um advisory sobre um suposto bug no slashcode que apesar de nao dar para correr comandos remotamente (BTW: echo 'safe_mode on' >> php.ini) tambem me parece grave.
    pseudo-webdevelopers (Pontos:1)
    por [Dragon] em 21-01-02 12:52 GMT (#17)
    (Utilizador Info) http://www.cidadela.org/
    É só ver todos os pseudo-webdevelopers a irem a correr patchar os Nukes!

    NUK'EM ALL I SAY! :->


    ---
    "One Dragon to rule them all."
    Re:er.... mas alguem usa isso ? (Pontos:1)
    por vd em 20-01-02 20:42 GMT (#5)
    (Utilizador Info) http://paradigma.co.pt
    Sugeres portanto ?...

    Dentro de clientes de CMS, free e em *nix, consideras bons quais ?

    Ou e' apenas por dizer mesmo mal ?

    Cumprimentos,
    vd
    Re:er.... mas alguem usa isso ? (Pontos:1)
    por NokiaMan em 20-01-02 21:03 GMT (#6)
    (Utilizador Info)
    lolllllll
    http:\\www.siteseed.org e tens o bonus do ser portugues!
    E mais, o php-nuke nao é um CMS mas sim um WebLog, lol weblog por weblog, perfiro o slashcode
    ------------------------------ - BigBrother is Watching You - ------------------------------
    Re:er.... mas alguem usa isso ? (Pontos:1)
    por vd em 20-01-02 22:14 GMT (#10)
    (Utilizador Info) http://paradigma.co.pt
    E nao deixa de ser portanto um CMS, "Content Management System" ?

    Podes entreter-te com uma leve discussao dos melhores CMS no teu "weblog" favorito ;)
    http://www.phpnuke.org/article.php?sid= 1390

    E por weblogs.. Eu em PT (perdoem-me os mais conhecedores da materia) so' conheco o gildot como "cliente de slashcode", ao contrario dos inumeros "weblogs-phpnukes" que andam por ai.

    E' caso para rir ? ....



    Cumprimentos,
    vd
    Re:er.... mas alguem usa isso ? (Pontos:2)
    por Xmal em 21-01-02 13:24 GMT (#19)
    (Utilizador Info) http://gsd.di.uminho.pt/cbm
    E por weblogs.. Eu em PT (perdoem-me os mais conhecedores da materia) so' conheco o gildot como "cliente de slashcode", ao contrario dos inumeros "weblogs-phpnukes" que andam por ai.

    ---Pub---

    Outro Slashcode :) relvado.com.

    ---/Pub---

    Re:er.... mas alguem usa isso ? (Pontos:1)
    por NokiaMan em 21-01-02 21:34 GMT (#23)
    (Utilizador Info)
    ve os sites http://www.portugaldiario.iol.pt e http://www.de.iol.pt (Diáro Económico), por exemplo, são feitos com o SiteSeed(que até podes fazer o download de borla), imagina sites comerciais como estes feitos com o PHP-Nuke...
    ------------------------------ - BigBrother is Watching You - ------------------------------
    Re:er.... mas alguem usa isso ? (Pontos:1)
    por jamaica em 21-01-02 10:35 GMT (#13)
    (Utilizador Info) http://ainda.nao.tenho
    http:\\www.siteseed.org ??

    Agora eu percebi a tua estupidez.. ehs utilizador do Windows, porque eh http:// e nao http:\\

    Have a nice BSOD :)
    ---------------------
    The worst moment for the atheist is when he is really thankful and has nobody to thank. Dante Rossetti

    Re:er.... mas alguem usa isso ? (Pontos:1)
    por NokiaMan em 21-01-02 21:28 GMT (#22)
    (Utilizador Info)
    por acaso o meu / estava estragado, isto é cheio de pastilha elástica, foi a minha priminha... e como não me lembrava do código ascii para a / para fazer ALT+cod_ascii resolvi por a \ , qual é o problema?
    ------------------------------ - BigBrother is Watching You - ------------------------------
    Re:er.... mas alguem usa isso ? (Pontos:2)
    por daniel em 22-01-02 4:39 GMT (#25)
    (Utilizador Info)
    ---
    por acaso o meu / estava estragado, isto é cheio de pastilha elástica, foi a minha priminha... e como não me lembrava do código ascii para a / para fazer ALT+cod_ascii resolvi por a \ , qual é o problema?
    ---

    Er... copy & paste do URL na janela do browser era bem mais fácil, não? Ou tinhas o Ctrl-C e o Ctrl-V (botões do rato, shift-insert, etc, etc.) com pastilha também? (flame, não ligues, guarda mas é a sugestão que pode ser útil a second time! :-)

    Fica bem,
    Daniel Fonseca
    Re:er.... mas alguem usa isso ? (Pontos:1)
    por Lowgitek em 22-01-02 20:23 GMT (#27)
    (Utilizador Info) http://www.ideiasdigitais.co.pt
    Essa desculpa foi um bocado a pressão reconheces ou não ?

    É crime usar windows ? É crime usar o phpnuke?

    Acho que não, o que acho é ser um crime falar mau só por falar mau o phpnuke é uma boa ferramenta, há melhores é capaz de haver, sabes fazer melhor?

    Bom proveito.

    Re:er.... mas alguem usa isso ? (Pontos:1)
    por NokiaMan em 20-01-02 21:26 GMT (#9)
    (Utilizador Info)
    também pensei nisso, mas como raio queres que me ria? será mais simples dizer lol ou
    ------------------------------ - BigBrother is Watching You - ------------------------------
    Re:Startux.org ( off topic) (Pontos:2)
    por Gamito em 21-01-02 12:10 GMT (#15)
    (Utilizador Info) http://www.startux.org/
    Por acaso permite, mas não estava ao corrente dessa mensagem. Vamos ver isso.

    Mário Gamito
    "Make everything as simple as possible... but not simpler"
    Albert Einstein
    Re:Startux.org ( off topic) (Pontos:2)
    por Gamito em 21-01-02 12:13 GMT (#16)
    (Utilizador Info) http://www.startux.org/
    Não vejo indicação nenhuma de que não permite o envio de artigos anonimamente e realmente aceita-os.
    Pode indicar-nos por favor onde leu essa referência ?

    Mário Gamito
    "Make everything as simple as possible... but not simpler"
    Albert Einstein
    Re:Startux.org ( off topic) (Pontos:2)
    por MavicX em 21-01-02 13:18 GMT (#18)
    (Utilizador Info)
    Para veres essa referência tems de não estar registado. E apareçe por baixo dos comentários dos utilizadores em vez do habitual link [responder a este comentário]. Tambem não apareçe o botão enviar comentário (para os artigos originais) só o botão actualizar.

    Espero que seja uma falha vossa e não uma decisão editorial.

    P.S. Sim fui eu o anonimo do post original


    Re:Startux.org ( off topic) (Pontos:2)
    por Gamito em 21-01-02 15:47 GMT (#20)
    (Utilizador Info) http://www.startux.org/
    Humm...
    Estranho, eu livrei-me do meu cookie para ficar um anónimo e deu.
    Aliás já houveram submissões anónimas, incluindo a que me avisou ontem do bug. Vou ver isso.
    Que browser estás a usar ?

    Mário Gamito
    "Make everything as simple as possible... but not simpler"
    Albert Einstein
    Re:Startux.org ( off topic) (Pontos:2)
    por Gamito em 21-01-02 15:54 GMT (#21)
    (Utilizador Info) http://www.startux.org/
    Ah!
    Já percebi :)
    Não é o envio de artigos, são os comentários ao mesmo. Realmente estava assim por opção.
    Agora já permite. Vamos a ver no que dá...

    Mário Gamito
    "Make everything as simple as possible... but not simpler"
    Albert Einstein

     

     

    [ Topo | FAQ | Editores | Contacto ]