phpRS help fórum : phpRS Fórum
Hlavní diskuzní phpRS fórum. Najdete zde odpovědi na otázky týkající se provozu a instalace phpRS systému.
phpRS - redakční a informační systém
Bezpečnostné chyby v phpRS
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2011-07-13, 12:03

Oficiálna verzia phpRS, ktorú je možné stiahnuť na serveri supersvet.cz obsahuje bezpečnostné chyby. Je nutné ich opraviť, inak je systém zraniteľný. Závažná chyba je tiež v rozšírenom plugine Galéria.



Nutné opraviť:
search. php (phprs 2.6.x)zde--->[http://www.phprs.net/forum/read.php?2,37348,37462#msg-37441]
search. php (phprs 2.8.x)zde--->[http://www.phprs.net/forum/read.php?2,37348,37462#msg-37442]
gallery.php zde---> [http://www.phprs.net/forum/read.php?32,30139,30227#msg-30223]
admin/areaders.php zde---> [http://www.phprs.net/forum/read.php?32,30139,30302#msg-30302]




admin/areaders.php
Spôsob útoku: permanetné XSS - vloženie javascriptového kódu do registračných údajov čitateľa. Tieto údaje sa prihásenému užívateľovi zobrazia v administrácii a pokiaľ má povolený JavaScript, vykoná sa kód.

search.php:
Spôsob útoku: únik md5 odtlačkov hesiel z databázy pomocou blind SQL injection a následné dohľadanie hesiel k odtlačkom v rainbow tables alebo nájdenie kolízií. Preto je nutná zmena hesiel do administrácie systému.


Další důležitá záplata pro plugin Kforum 1.3.2 a nižší:

Nutno opravit:


kforum.php zde---> [http://www.phprs.net/forum/read.php?10,36832#msg-37569]





Celkem upraveno 8×. Poslední úprava marty v 08.08.2011 21:37.



Toto téma bylo zamčeno
This forum powered by Phorum and designed by STaNBoSS.