Pull to refresh

Comments 41

link — уязвимости уже несколько месяцев, и судя повсему 3.х тоже подвержена ей.
В «тройке» не работает. Проверил. Ссылку не даю — во избежание хабраэффекта, IPBv3 стоит на домашней машине :)
Видимо, плохие из нас хакеры… В топике выложил пруф — ломаный кусок форума IPB-related сообщества. А он же тоже на «тройке»…
У Вас vbullletin, а речь про Ivision Power Board, насколько я понял)
А можно хотя бы картинку под кат спрятать? Больно уж она большая.
Вы выложили описание уязвимости тут чтобы пол интернета взломали друг друга? Может лучше было сказать или продать разработчикам…
Чуть выше по тексту — разработчики в курсе. И эксплойт уже начал свой путь по городам и весям (читай — на десятке тематических форумов уже есть). Вопрос неоднозначен, но пусть лучше все знают и предпринимают меры по защите, чем знать только тем, кто целенаправленно занимается взломом?
Тем кто ломает за деньги и хорошо разбирается не нужен этот эксплоит.
Эксплоитом будут пользоваться в основном школьники, цель большинства разрушать и совершать дефейсы, и это самые опасные люди.
Убрал из топика пример использования уязвимости. Так оно лучше будет, в чем то вы правы.
зато ниже на скриншоте есть пример
Внатуре я баран >< правлю…
Что и требовалось ожидать — не перевелись еще идиоты, делающие парсеры тегов на голых регекспах.
вы предлагаете способ с одетыми регекспами?
Я предлагаю учить основы парсинга. Например, лексический, синтаксический и семантический анализ.
парсер парсеров на пхп?
и не переведутся. потому что это просто и удобно. и быстро. да и идиотами они являются только в воображении всякой там школоты, недавно осилившей «хелло, ворлд» написать
Для домашней странички Василия Пупкина — пойдет.
Для сайта посерьезней — нет, т.к. не будет выполнять свою функцию, отсюда нерабочий вариант не может быть ни простым, ни удобным, ни быстрым.

1) Отсутствие отладки.
2) Человеческий фактор.
3) Сложность поддержки и доработки(!!)

BB теги оставим тем, кому надо лишь u/i/b, для чего-то сложного не пойдет по указанным выше причинам.
ндя, а я как то с год назад перестал следить за багтраками, надо бы снова начать.
если снова начнешь, потом совсем не сможешь бросить.
Пока школьники спят, быстренько отключим BBCode acronym.
[b]Narical[/b] спасибо.
Упс, и тут BBCode
Narical, спасибо за информацию еще раз.
Большое спасибо за информацию. Я отключил BBCode в подписях, но достаточно ли этого, если я не запретил тег acronym? (просто пока не нашел, где его запретить).

Я не умею проверить уязвим ли еще форум или нет, прошу помочь с проверкой — кто умеет — в личку напишите, скажу адрес форума, или в Личку киньте код для примера, который нужно разместить в подписи. Спасибо.
копипаста с форума:
— дыра известна давно, еще с прошлого года.
— дыра есть и в 2.х, и в 3.х и связана с обработкой вложенных кодов,
— дыра явно активно эксплуатировалась всякими темными личностями и на публику попала случайно,
— в 2.х из-за дыры есть активная XSS (используется в подписях), что грозит вам уводом cookies, сиречь, сессии,
— в 3.х из-за дыры пока удается только попортить разметку страницы, однако, некоторые хакеры пишут о так же рабочей XSS,
— в 2.х проблема, вероятно, решается отключением BBCode в подписях и удалением тега acronym,
— в 3.х следует запретить обработку вложенных тегов для email, url, font, member, topic, blog, post, acronym, background. Возможно, другие теги так же уязвимы — не проверял.

Все примеры кода, ссылки на хакерские форумы и примеры использования эксплоитов высланы саппортам IPS и IBR.

Насчет «решается удаление тега acronym» — его надо выпиливать из кода IPB, что сложно. Но в принципе, ничего страшнее порушенной разметки он не несет — главное подписи отключить.
Пример на скрине — это как раз использование тега acronym. Насколько это страшно — решать вам. С другой стороны, это не увод сессии и не полный контроль над админкой.
Прошу еще раз уточнить. Мне не до конца понятно.
Я вижу на скрине красный прямоугольник с текстом предупреждения, порушенной разметки не вижу.
Это предупреждение, и есть «порушенная разметка»?
Угу. Это показательный, а не злонамеренный взлом форума.
То, что показательный — я понял.
А то, что это как раз получается при использовании acronym — айяйяй!

Придется «выпиливать» из кода. Только пока не знаю как.

Мне кажется, где-то в настройках это можно регулировать, не уверен. буду рюхать.
После того как я перешел с phpbb на ipb много лет тому назад — не помню, чтобы меня волновали подобные новости. А тут на тебе… Спасибо, всё везде запретил =)
Аналогично, турецкие хакеры замучали в свое время дефейсить phpBB, аналогично, перешел на ipb

Утоните, пожалуйста, каким образом запретили использование тега acronym?
Как рекомендуют выше:

в 2.6 удалил: Управление -> Дополнительные BB-коды -> Список BB-кодов

в 3 запретил разбор вложенных кодов: Внешний вид -> Содержимое сообщений -> BB-коды

Он не является встроенным в парсер. Достаточно зайти в админцентр, найти там управление дополнительными ББ-кодами и удалить оттуда этот ББ-код.
Советую вам перечитать документацию к форуму, иначе вам могут угрожать более безобидные проблемы.
Спасибо, уже удалил.

Документацию — да, поставил себе в туду.
А у меня 20 форумов. Во все админки ручками не налазишься. :(
Поступил проще — в модуле сохранения подписей профиля пользователя добавляю синтаксическую ошибку в написание всех ивентов по маске on* (функция do_signature() в файле \sources\lib\func_usercp.php)

function do_signature()
...
// Parse post
...
$this->ipsclass->input['Post'] = preg_replace( "/on(.?)/i" , "-n\\1" , $this->ipsclass->input['Post'] );


А потом уже по наработанной схеме автоматом по ftp пачкой рассылаю изменения на форумы.
На первое время должно помочь, пока не придумают что-нибудь более гениальное.
UFO landed and left these words here
Последние новости, Ritsuka@IBR:
Исправлено и для 2.3.6, и для 3.0.5. Патчи от IPS будут выложены сегодня.
один с авторов данной уязвимости попросил опубликовать этот комментарий

каждый из админов (разговор шёл с тремя дядьками) или главных девелоперов, с которыми была осуществлена попытка «договориться» о раскрытии уязвимостей за некоторое материальное вознаграждение был повергнут в крайнюю степень недоумения. и с неподдельным и искренним удивлением они давали понять, мол, «такого способа поощрения не существует и вовсе, и мы впервые с таким сталкиваемся и не знаем что с вами делать». и это слова конторы, которая продаёт свой код.


а вот она была опубликована еще в 2008 году.
для связи с автором можно использовать следующий емейл brainpillow@gmail.com, а еще туда можно отправить инвайт (:
Only those users with full accounts are able to leave comments. Log in, please.