LET OP: Mods met veiligheidsfouten

Bericht door **Paul** » 13 okt 2006, 21:23

De laatste tijd zijn er een groot aantal mods veiligheids fouten ondekt, veelal dezelfde soort. Hieronder staat een lijst van op dit moment bekende mods met fouten, en eventeel een fix. Voer deze fix uit, OF verwijder de betreffende mod!

phpBB All Topics Mod
phpBB Static Topics FIX: http://www.nivisec.com/article.php?l=vi&ar=20
phpBB Admin Topic Action Logging Mod FIX: http://www.nivisec.com/article.php?l=vi&ar=18
Dimension of phpBB
phpBB Security Suite Mod 1.0.0
phpBB User Viewed Posts Tracker FIX: http://www.nivisec.com/article.php?l=vi&ar=19
phpBB Random User Registration Number FIX: http://www.nivisec.com/article.php?l=vi&ar=21
phpBB SpamBlocker Mod
phpBB Ajax Shoutbox FIX : http://www.phpbb.com/phpBB/viewtopic.ph ... &start=435
phpBB Import Tools Mod
phpBB Insert User Mod
phpBB Journals System Mod
phpBB hacklist (nivisec) FIX: http://www.nivisec.com/article.php?l=vi&ar=15 LET OP: Nieuw veiligheids lek gevonden!!!
phpBB Manage shadow topics FIX: http://www.nivisec.com/article.php?l=vi&ar=17
phpBB Security
phpBB ACP User Registration Mod Opgelost in 1.0.1, ASAP updaten, zie http://www.phpbb.com/phpBB/viewtopic.ph ... c&start=75
phpBB Prillian French Mod
phpBB SearchIndexer Mod
phpBB RPG Events
phpBB SpamOborona Mod
phpBB lat2cyr Mod
phpBB News Defilante Horizontale
phpBB Amazonia Mod
phpBB IAI bot
phpBB Board Usage Statistics Mod
IntergraMod Portal 1.4.x en 2.0 FIX: http://integramod.com/home/viewtopic.php?t=10815
Nivisec's junior admin

Mocht je een fix of een mod tegenkomen met een lek, meld hem hier/stuur mij een PM, dan zet ik hem erbij.

Premods met lekken:
Hieronder staan een aantal premods met lekken.

phpBB PlusXL (wordt niet meer ontwikkeld (Zover bekend), niet meer gebruiken!
phpBB XS FIX http://www.phpbbxs.eu/viewtopic.php?t=373, zie ook http://www.phpbbxs.eu/viewforum.php?f=22
maluinfo 206.2.38 ( brazilian phpBB )(Absoluut niet gebruiken, gebaseerd op zeer oude phpBB!)
phpBB FM
Minerva

Changelog:

9 mods toegevoegd + premods lijstje
1 mod toegevoegd + fix voor XS
Premod + mod toegevoerd.
Phpbb FM toegevoegd + mod toegevoegd.
Minerva toegevoegd.

[/size]

brandsrus · Bericht door **brandsrus** » 14 okt 2006, 09:29

Voor AJAX Shoutbox is een fix beschikbaar via

http://www.phpbb.com/phpBB/viewtopic.ph ... &start=435

Nicholas · Bericht door **Nicholas** » 22 okt 2006, 17:28

ik kan de fix niet downloaden van ACP User Registration. Er komt een login scherm tevoorschijn.

Bericht door **Paul** » 22 okt 2006, 17:43

Nicholas schreef:ik kan de fix niet downloaden van ACP User Registration. Er komt een login scherm tevoorschijn.

Hmm, topic bestaat niet meer op phpbb.com, ik ga er even achteraan

EDIT: Updaten naar versie 1.0.1, zie http://www.phpbb.com/phpBB/viewtopic.ph ... c&start=75

Jan · Bericht door **Jan** » 26 okt 2006, 04:00

phpBBFM is zo goed als volledig veilig zolang je de Foing MP3-speler maar niet gebruikt

Bericht door **Paul** » 26 okt 2006, 15:32

Janmarques schreef:phpBBFM is zo goed als volledig veilig zolang je de Foing MP3-speler maar niet gebruikt

volledig veilig ja. Oftewel, absoluut niet gebruiken. En er zullen vast nog wel een aantal meer mods met lekken inzitten, als alleen deze. En naast de veiligheid, is dat niet het enige wat je moet beletten die zooi te gebruiken.

Jan · Bericht door **Jan** » 01 nov 2006, 21:00

Sorry voor de late reactie, maar zoals je ziet, het heeft allemaal met die verdombe mp3-speler te maken, die je overigens perfect kan uitschakelen.

Bericht door **Paul** » 01 nov 2006, 21:02

Janmarques schreef:Sorry voor de late reactie, maar zoals je ziet, het heeft allemaal met die verdombe mp3-speler te maken, die je overigens perfect kan uitschakelen.

Zolang die files bestaan, werken die exploits vermoed ik

En zowiezo, naast dat deze mischien de engige is, is fm niet echt goed voor je server ( > 100 querys

). En, zijn ze niet echt geliefd bij mod auteurs.

Jan · Bericht door **Jan** » 01 nov 2006, 21:10

paul schreef:En, zijn ze niet echt geliefd bij mod auteurs.

Dat had ik idd al begrepen

Ganondorf · Bericht door **Ganondorf** » 18 nov 2006, 21:58

Het veiligheidslek in phpBB Security is alleen geldig voor versie 1.0.1.
Inmiddels is versie 1.0.3. uitgebracht, waarin deze exploit verwijderd is.

Voor de nieuwste versie: phpBB-Tweaks.com

Bericht door **Paul** » 18 nov 2006, 22:00

Ganondorf schreef:Het veiligheidslek in phpBB Security is alleen geldig voor versie 1.0.1.
Inmiddels is versie 1.0.3. uitgebracht, waarin deze exploit verwijderd is.

Voor de nieuwste versie: phpBB-Tweaks.com

Mods als phpbb secrity en cracker tracker zijn zowiezo minder veilig voor je forum als dat wordt gedacht

. Het is af te raden deze te gebruiken.

Ganondorf · Bericht door **Ganondorf** » 18 nov 2006, 22:20

Ze kunnen toch een hoop voorkomen.
Ik gebruik die mod nu al een hele tijd, en ik ben nog nooit in de problemen gekomen.
Als voorbeeld kan je ook Shadowtek.net nemen.
phpBB Security Has Blocked 7515 Exploit Attempts.

Dus ik zou phpBB Security niet helemaal afraden.(en als je dat wel doet, zet dan ook gelijk Cracker Tracker in het rijtje)

Bericht door **Paul** » 18 nov 2006, 22:22

Phpbb security staat vanwege dit lek in het rijtje

.
Ik raad ze wel af. De development team leader raad hem zelfs af

. Ze bieden enkel schijnveiligheid (wow 7515 hackpogingen), maar ze maken je forum eerder onveiliger vanwege slechte scripting die ze beide hebben.