ISP zakazują phpBB

Niektóre duże firmy hostingowe podjęły bezprecedensową decyzję o zakazie stosowania phpBB na swoich serwerach. Przyczyną ma być duża liczba błędów w popularnym programie do tworzenia forum dyskusyjnego.

Jedna z dużych amerykańskich firm hostingowych HostPC w przesłanym klientom oświadczeniu poinformowała że w związku z dużą ilością dziur w phpB B zabrania instalowania tego programu na swoich serwerach. Według HostPC nowe dziury pojawiają się w phpBB praktycznie co miesiąc i personel firmy nie jest w stanie usuwać każdej z dziur w instalacjach u wszystkich klientów. Firma dała użytkownikom miesiąc na zainstalowanie alternatywnych programów, sugerując jeden z wymienionych: SM Forum, XMB Forum, Invision Board i vBulletin. Drugim feralnym programem z którego łataniem boryka się HostPC jest AWstats.

Kontrowersyjna decyzja firmy wzbudziła ostre protesty autorów phpBB, którzy zarzucili firmie szerzenie nieuzasadnionej paniki. Autorzy napisali m.in. "w phpBB na pewno będą pojawiać się nowe dziury, ale pokażcie nam aplikację w której takich dziur nie ma". Niestety, argument nieco chybiony bo phpBB jest absolutnym rekordzistą pod względem ilości dziur. Od początku ubiegłego roku w tym popularnym programie ujawniono ponad 70 dziur, z czego wiele poważnych.

Większość firm hostingowych oferuje klientom instalatory rozmaitych aplikacji, pisanych głównie w PHP. Architektura serwera Apache i PHP, działającego głównie jako moduł Apacza powoduje że aplikacje wszystkich użytkowników na serwerze działają z identycznymi uprawnieniami. W rezultacie uzyskanie dostępu do serwera przez dziurawą aplikację jednego użytkownika daje włamywaczowi dostęp do kont wszystkich pozostałych użytkowników. Równocześnie załatanie kilku tysięcy oddzielnych instalacji, nieraz modyfikowanych przez użytkowników również nie jest działaniem trywialnym. Trudno się więc dziwić że HostPC w trosce o pozostałych użytkowników podjęło tak radykalne środki ostrożności.

Z drugiej strony nie należy zapominać że phpBB i pozostałe aplikacje są darmowe, a równie poważne dziury pojawiają się w programach za które trzeba słono płacić. Problem nie leży więc w tym że autorzy phpBB nie wystarczająco się starają. Problem jest o wiele szerszy - jak zapewnić bezpieczeństwo i separację przywilejów w tak rozbudowanym środowisku jak serwer WWW obsługujący wielu użytkowników.


Zobacz również