Oficiálna verzia phpRS, ktorú je možné stiahnuť na serveri supersvet.cz obsahuje bezpečnostné chyby. Je nutné ich opraviť, inak je systém zraniteľný. Závažná chyba je tiež v rozšírenom plugine Galéria.
Nutné opraviť:
search. php (phprs 2.6.x)zde--->[http://www.phprs.net/forum/read.php?2,37348,37462#msg-37441]
search. php (phprs 2.8.x)zde--->[http://www.phprs.net/forum/read.php?2,37348,37462#msg-37442]
gallery.php zde---> [http://www.phprs.net/forum/read.php?32,30139,30227#msg-30223]
admin/areaders.php zde---> [http://www.phprs.net/forum/read.php?32,30139,30302#msg-30302]
admin/areaders.php
Spôsob útoku: permanetné XSS - vloženie javascriptového kódu do registračných údajov čitateľa. Tieto údaje sa prihásenému užívateľovi zobrazia v administrácii a pokiaľ má povolený JavaScript, vykoná sa kód.
search.php:
Spôsob útoku: únik md5 odtlačkov hesiel z databázy pomocou blind SQL injection a následné dohľadanie hesiel k odtlačkom v rainbow tables alebo nájdenie kolízií. Preto je nutná
zmena hesiel do administrácie systému.
Další důležitá záplata pro plugin Kforum 1.3.2 a nižší:
Nutno opravit:
kforum.php zde---> [http://www.phprs.net/forum/read.php?10,36832#msg-37569]
Celkem upraveno 8×. Poslední úprava marty v 08.08.2011 21:37.