Aktualizacja bezpieczeństwa dla PHP-Fusion v7.00.2 i v6.01.16
Milka dnia 26 grudnia 2008 12:57 · 3 komentarze · 13424 czytań · · ·
Dev Team zacięcie pracował nad łatką bezpieczeństwa dla pliku submit.php, do którego wczoraj ujawniono exploit. W końcu udało im się osiągnąć upragniony cel - łatka została wydana. Lukę poprawiono zarówno dla PHP-Fusion v7, jak i v6.
Paczki zawierające aktualizację zostały umieszczone w Laboratorium Modułów.
Aktualizacja do PHP-Fusion 7.00.3 - tylko dla v7.00.2 (4,4 KB)
Aktualizacja do PHP-Fusion 6.01.17 - tylko dla v6.01.16 (3,9 KB)
Exploit dla v7.00.2
Grzes dnia 25 grudnia 2008 16:33 · 5 komentarzy · 14238 czytań · · ·
Ujawniono exploit dla PHP-Fusion 7.00.2. Dotyczy on pliku submit.php. Tymczasowo zalecamy jego usunięcie bądź zmianę nazwy.
Aktualnie Dev Team pracuje nad stworzeniem i jak najszybszym dostarczeniem łatki.
Ostatnie wydarzenia na Głównym Supporcie
Wooya dnia 23 grudnia 2008 10:15 · 3 komentarze · 11800 czytań · · ·
Sheldon: Czujemy się zobowiązani wytłumaczyć szerzej naszej społeczności, co działo się w przeciągu ostatnich kilku dni. Jak zapewne zauważyliście, strona Głównego Supportu była zawieszona, w zamian pokazane było logo Forge Hosting, naszego providera. Zostało to uczynione na prośbę PHP-Fusion Management Team (MT) z powodu włamania na nasz Support przez administratora jednego z byłych narodowych supportów (żadne imiona i/lub nicki nie zostaną wymienione). Osoby, którym udało się włamać, miały nadzieję upokorzyć inny były narodowy support. Oba byłe supporty pochodzą z tego samego państwa i są w stanie ciągłej walki oraz próbują utrudnić prawidłowe funkcjonowanie całej naszej społeczności.
Jeszcze nie udało się nam ustalić, w jaki sposób atak został przeprowadzony i czy była wykorzystana jakaś luka w PHP-Fusion, czy też są to pozostałości po ostatnich atakach. MT jest nastawione, by udostępniać solidny produkt i wsparcie dla naszej społeczności, więc jeżeli zostanie odnaleziona jakaś luka, zostanie ona natychmiastowo usunięta. Jakakolwiek pomoc lub informacja na temat owych ataków i bieżącej sytuacji może być przekazana MT poprzez skontaktowanie się z którąkolwiek osobą z MT.
Z ukłonami w stronę byłego supportu, który wojuje z PHP-Fusion MT, nie chcemy mieć z tym nic wspólnego, nie będziemy w tej walce wspierać żadnej ze stron, ani nikogo dyskredytować, a żadna ze stron nie ma szans na otrzymanie statusu Oficjalnego Supportu. Uważamy, że narodowe supporty, których administratorzy są niedojrzali lub nieprofesjonalni, nie są mile widziane w naszej społeczności.
Aktualizacja: Ostatnia fala ataków spamu, to dowód niedojrzałości tych osób. PHP-Fusion MT nie podda się takim próbom.
Pozdrawiamy
PHP-Fusion Management Team
Digitanium, KEFF, Sheldon, janmol, muscapaul, kneekoo, Matonor i Yxos
"Spalone" paczki PHP-Fusion na Sendspace
Wooya dnia 22 grudnia 2008 21:57 · 1 komentarz · 13044 czytań · · ·
Sheldon i muscapaul: Zdarzyło się kilka dni temu, że nieupoważniona osoba dostała się do naszej strony z uprawnieniami Głównego Admina poprzez konto administracyjne z ustawionym słabym hasłem. Linki do plików instalacyjnych PHP-Fusion w wersjach 7.00.2 i 6.01.16 zostały podmienione na odnośniki do plików zamieszczonych na Sendspace, które były spakowane w formacie RAR.
Obydwie paczki zawierają zmodyfikowane pliki maincore.php i ../includes/jscript.js. Jeżeli pobraliście którąkolwiek z tych paczek i użyliście do utworzenia nowej strony lub jej aktualizacji, prosimy o pobranie tych paczek ponownie, z oficjalnych źródeł i podmienienie wszystkich swoich plików. Jest wskazane, aby na ten czas przełączyć swoją stronę w tryb serwisowy. Bądźcie ostrożni przy usuwaniu już wgranych grafik (awatary, albumy fotografii) lub załączników na forum. Przy okazji sprawdźcie foldery uploadu, czy nie zawierają podejrzanych plików z rozszerzeniem PHP lub z podwójnym rozszerzeniem (np.: .php.rar, .phtml.rar). Jeżeli nie jesteście pewni, że pobraliście właściwą paczkę, podmieńcie swoje pliki na serwerze na kopie wcześniej pobranych wersji. Nie ma potrzeby, aby reinstalować Wasze strony, ale zalecamy, aby zmienić wszystkie hasła dostępowe i administracyjne, jako dodatkowe zabezpieczenie.
Prosimy o zwrócenie uwagi, że oficjalne paczki PHP-Fusion nie są rozpowszechniane inna drogą niż poprzez SourceForge, lub poprzez oficjalny serwer. Jakakolwiek paczka z PHP-Fusion zawsze będzie pojawiać się w formacie ZIP.
Nabór na stanowisko moderatora zakończony
Milka dnia 02 grudnia 2008 15:00 · 12 komentarze · 18192 czytań · · ·
W imieniu własnym, jak i całej administracji, pragnę poinformować, iż dotarło do mnie 7 wniosków, jednakże tylko 3 zgłoszenia zostały rozpatrzone pozytywnie. Jeden z nich w trybie natychmiastowym - mowa tu oczywiście o naszym piterusie. Zapewne zastanawiacie się kim są pozostałe dwie osoby, ale o tym za chwilę.
W pierwszej kolejności chciałabym Was poinformować, że celem tej akcji było wyłonienie spośród Was użytkowników, którzy chcieliby pomagać w moderowaniu naszego forum. Nie spodziewaliśmy się dużego odzewu - no i się nie pomyliliśmy. Myślimy, że to powinno dać Wam do myślenia, ponieważ praca moderatora, to naprawdę nie jest taki lekki kawałek chleba. Doceńcie to, co dla Was robimy i nie narzekajcie, że nie odpowiadamy w tematach - nasza doba ma tylko 24 godziny (wbrew pozorom).
Wracając do moderatorów, którzy przyjęci zostali na okres próbny... Są nimi dwaj panowie: khaman i hoopak. Serdecznie gratulujemy awansu i życzymy dużo wytrwałości.
Administracja Polskiego Oficjalnego Supportu PHP-Fusion
Oficjalna strona skórek chwilowo zamknięta | Już otwarta
Wooya dnia 25 listopada 2008 09:32 · 3 komentarze · 11479 czytań · · ·
Sheldon: Z powodu wykrytych prób włamania na oficjalną stronę ze skórkami (http://themes.php-fusion.co.uk), zostaje ona zamknięta, do czasu zakończenia dochodzenia na tę okoliczność. Dziękujemy za zrozumienie.
Aby wszystkich uspokoić, informujemy, że powodem chwilowego zamknięcia nie jest jakaś dziura w PHP-Fusion, ale pozostałości po ostatnich atakach, które cały czas analizujemy i śledzimy. Z mojej analizy wynika, że po ostatnich próbach zostało kilka niebezpiecznych plików, które przeoczyliśmy podczas przeglądania zawartości serwera.
Aktualizacja: Oficjalna strona skórek jest już otwarta!
PHP-Fusion v6.01.16 - jak obiecano...
jantom dnia 22 listopada 2008 02:30 · 0 komentarzy · 11264 czytań · · ·
PMM: Dla tych, którzy jeszcze nie zaktualizowali się do v7, udostępniona jest poprawka dla v6.01.15. Jak zwykle - jeśli korzystacie z wcześniejszej wersji z serii 6.01, musicie zainstalować poprzednie aktualizacje. Jednakże, pamiętajcie, że ta aktualizacja jest tylko dla v6.
Aktualizacja do PHP-Fusion 6.01.16 - tylko dla v6.01.15
Aktualizacja bezpieczeństwa dla PHP-Fusion v7.00.1
Pieka dnia 22 listopada 2008 00:01 · 5 komentarzy · 11293 czytań · · ·
Z przyjemnością pragniemy poinformować, że wcześniej wykryta i zgłoszona luka w pliku messages.php została załatana. Przy okazji poprawiono również plik search.php, który wymagał drobnych poprawek w zakresie bezpieczeństwa.
Łatki dla v6 spodziewajcie się niebawem.
SVN i pełne paczki również zostały zaktualizowane.
PHP-Fusion 7.00.2 Update - tylko dla 7.00.1 (10,2 KB)
Znaleziono lukę w systemie PW
Wooya dnia 21 listopada 2008 09:48 · 4 komentarze · 11073 czytań · · ·
muscapaul: W dniu dzisiejszym zgłoszono lukę w messages.php, głównym pliku systemu PW. Zostało to już zauważone przez developerów i łatka zostanie wypuszczona najszybciej jak to będzie możliwe. Jeżeli chcesz mieć pewność, że Twoja strona nie zostanie zaatakowana, usuń plik messages.php do czasu opublikowania łatki bezpieczeństwa. W związku z tym, że nie ma pewności odnośnie wersji, poleca się zablokowanie w/w pliku również w v6.
Nowa luka została potwierdzona przez millw0rm.
Odwiedzaj naszą stronę regularnie lub skorzystaj z kanału RSS w oczekiwaniu na poprawki.
UWAGA: System PW został tymczasowo wyłączony na Oficjalnym Supporcie.