phpBB 2.0.13 uitgebracht | Kritische update!

KevinS · Bericht door **KevinS** » 03 mar 2005, 17:34

Ok dat is te begrijpen

In dat eerste bericht dan misschien wel even vermelden dat er personen zijn die misbruik maken van het lek en zoeken naar forums met een oude versie via verschillende zoekmachines en deze personen virussen versturen via de mass-mail functie als ze zijn ingelogd als beheerder via het lek

EDIT: Het lijkt erop dat, dat net in het rood is bijgeschreven

Bee · Bericht door **Bee** » 03 mar 2005, 17:37

Dat heeft er altijd al zo gestaan hoor.

KevinS · Bericht door **KevinS** » 03 mar 2005, 17:39

Dan is het verder goed zo maar wou het even laten weten stom dat ik dat niet eerder hebt gezien.

Zou nu wel eens willen weten hoe die persoon die exploit heeft gebruikt

Bee · Bericht door **Bee** » 03 mar 2005, 17:43

Het gevaar van de exploit is, is dat je zonder inloggen in de admin kan komen. Door hierop het voorbeeldscript aan te passen, kan je zo binnenkomen, en de boel aanpassen.

KevinS · Bericht door **KevinS** » 03 mar 2005, 17:46

Voorbeeldscript?

Bee · Bericht door **Bee** » 03 mar 2005, 17:47

Ik heb hem voorbij zien komen, maar ik weet niet meer waar eigenlijk. Misschien maar goed ook, anders gaat iedereen er mee testen.

mosymuis · Bericht door **mosymuis** » 03 mar 2005, 23:50

bee schreef:Het gevaar van de exploit is, is dat je zonder inloggen in de admin kan komen.

Nee, de grap is juist dat iemand onder elk gewenst account kan inloggen, zoals dat van de admin.

Bee · Bericht door **Bee** » 04 mar 2005, 08:52

Een goed voorbeeld van wat de nieuwe fouten voor invloed kunnen hebben, is http://mods.db9.dk

mosymuis · Bericht door **mosymuis** » 04 mar 2005, 09:36

Daar heb ik geen medelijden mee, Niels heeft ook enkele weken (!) gewacht met het updaten naar 2.0.11. Voor iemand die zich zo intensief met phpBB bezig houdt vind ik dat onverantwoord. Overigens is zijn site niet gedefaced, maar is de titel veranderd in het AdminCP, met een HTML meta redirect. Geen schade dus.

Menace2Society · Bericht door **Menace2Society** » 04 mar 2005, 18:08

Ik krijg een fout als ik die SQL wil updaten:

Code: Selecteer alles

 SQL-query:

UPDATE phpbb_config SET config_value = '.0.13' WHERE config_name = 'version'

MySQL retourneerde: Documentatie
#1146 - Table 'ultrasforum.phpbb_config' doesn't exist

Ik heb die regel gewoon ingevuld bij SQL in myadmin en dan 'start' gedaan?

Menace2Society · Bericht door **Menace2Society** » 04 mar 2005, 18:14

Ow ik heb het al.... Ik heb forum_config

Ik kreeg deze melding:

Getroffen rijen: 1 (Query duurde 0.0004 sec)
SQL-query:
UPDATE forum_config SET config_value = '.0.13' WHERE config_name = 'version'

Ben ik dan klaar?

Bericht door **Paul** » 04 mar 2005, 18:14

dan zal je een andere prefix hebben

EDIT: Ja dan ben je klaar

Noodles · Bericht door **Noodles** » 05 mar 2005, 10:45

Manueel updaten en de SQL verandering waren geen probleem. Maar er zitten zoveel files in de patch.zip die ik ook had gedownload, moet ik daar nog dingen mee doen of ben ik al klaar? Ik ben trouwens van versie .11 uitgegaan...

Bee · Bericht door **Bee** » 05 mar 2005, 10:49

Noodles schreef:Manueel updaten en de SQL verandering waren geen probleem. Maar er zitten zoveel files in de patch.zip die ik ook had gedownload, moet ik daar nog dingen mee doen of ben ik al klaar? Ik ben trouwens van versie .11 uitgegaan...

Als je manueel geupdate hebt kan je de patchfiles laten zitten

wmemule · Bericht door **wmemule** » 06 mar 2005, 10:57

Ik heb alle updates en upgrades gedaan en ook de scripts handmatig gecontrolleerd en aangepast. Toch komt het nog regelmatig voor dat iemand de Site omschrijving veranderd in de configuratie van het board.

De update is dus scheinbaar niet afdoende?

Heeft iemand enig idee?
mvg, Webmaster eMule.nl 8)

Bee · Bericht door **Bee** » 06 mar 2005, 11:04

Verander je password, zodat daarmee niet ingelogt kan worden. Laat de andere admins dit ook doen. Vervolgens gaan we over op harde actie, er moet een .htaccess password protection komen.

http://www.zeelandnet.nl/helpdesk/index ... faq_id=216 heeft een uitleg hierover

wmemule · Bericht door **wmemule** » 06 mar 2005, 11:21

thx bee,

Ik laat eerst iedereen zijn wachtwoord veranderen, mocht het probleem zich dan nog voordoen dan zal ik wel een .htaccess bestandje aanmaken maar dat gaat inderdaad wel erg ver. De beveiliging is dan niet meer in phpbb maar in apache wat dus betekend dat de lek in phpbb hiermee niet is opgelost.

In ieder geval bedankt voor de snelle reactie, ik hou je op de hoogte van het verloop hiervan.

Webmaster eMule.nl 8)

1880_Philippe_1880 · Bericht door **1880_Philippe_1880** » 07 mar 2005, 19:44

Kan er iemand mij vertellen hoe ik van 2.0.8 naar 2.0.13 ga?

Stef · Bericht door **Stef** » 07 mar 2005, 19:48

Van 2.0.8 naar 2.0.10 en van 2.0.10 naar 2.0.11 én van 2.0.11 naar 2.0.13

É voila!

Luuk · Bericht door **Luuk** » 07 mar 2005, 19:49

Als je het handmatig wilt doen (dus als je mods hebt) zie http://www.phpbbhacks.com/forums/viewforum.php?f=34

Als je geen mods hebt kun je gewoon de nieuwste versie downloaden en de bestanden (behalve config.php en de mappen install en contrib) overschrijven.