Dziurawe phpBB

Rosyjska grupa hackerska HDS znalazła lukę w popularnym serwerze for dyskusyjnych phpBB. Powstał już nawet exploit wykorzystujący tę 'dziurę'.

Sytuacja jest o tyle poważna, że włamywacz, za pomocą odpowiednio spreparowanego adresu URL, jest w stanie wykonać dowolne polecenie systemu operacyjnego z uprawnieniami użytkownika, pod kontrolą którego działa serwer WWW.

Wiadomość podana w serwisie Kadets.ru opisuje problem z użyciem przykładu linuksowego polecenia "ls -al", które wypisuje listę plików i katalogów. Nietrudno jednak wyobrazić sobie sytuację, w której napastnik wykona o wiele bardziej niebezpieczny kod. Luka jest tym bardziej 'krytyczna', iż dotyczy wszystkich wersji phpBB.

Na szczęście została już opublikowana stosowna poprawka, uniemożliwiająca wykonanie niedozwolonego kodu. Twórcy phpBB zalecają jak najszybsze poprawienie kodu wszystkim użytkownikom. Instrukcja jak to zrobić dostępna jest tutaj.


Zobacz również