The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В поставке открытого форума MyBB обнаружен вредоносный код"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от opennews (ok) on 25-Окт-11, 18:56 
В начале октября разработчики открытого форума MyBB (http://www.mybb.com) опубликовали уведомление (http://blog.mybb.com/2011/10/06/1-6-4-security-vulnerabilit/) о наличии критической уязвимости в последней версии MyBB 1.6.4, выпущенной три месяца назад. Сегодня опубликованы (http://blog.mybb.com/2011/10/25/some-closure-on-the-1-6-4-se.../) подробности, указывающие на то, что уязвимость, позволяющая выполнить произвольный код PHP, была внесена злоумышленниками путем подмены архива с релизом форума на сервере загрузки.


По словам разработчиков злоумышленники проникли в систему через неизвестную уязвимость в движке сайта, разработанном своими силами, но основанном на использовании сторонних открытых фреймворков. Разработчики считают, что проблема безопасности присутствует не в коде их CMS, который не распространяется публично, а в используемых внешних фреймворках. Подробности совершения взлома и время подмены архива неизвестны, поэтому разработчики рекомендуют срочно...

URL: http://blog.mybb.com/2011/10/25/some-closure-on-the-1-6-4-se.../
Новость: http://www.opennet.me/opennews/art.shtml?num=32128

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В поставке открытого форума MyBB обнаружен вредоносный код"  +8 +/
Сообщение от OramahMaalhur (ok) on 25-Окт-11, 18:56 
Они используют eval? Извините, но закопать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "В поставке открытого форума MyBB обнаружен вредоносный код"  +5 +/
Сообщение от pavlinux (ok) on 26-Окт-11, 05:52 
Пользователям рекомендуется проверить сайт на наличие PHP.
После обнаружения, сжечь, съесть, улететь в Чили, там нагадить
и размазать по Андам.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

61. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от sh (??) on 31-Окт-11, 08:10 
Альтернатива?
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

62. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от arisu (ok) on 31-Окт-11, 11:19 
> Альтернатива?

чему?

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

2. "В поставке открытого форума MyBB обнаружен вредоносный код"  +23 +/
Сообщение от Аноним (??) on 25-Окт-11, 18:57 
Шел 2011 год - разрабы MyBB взялись за контрольные суммы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В поставке открытого форума MyBB обнаружен вредоносный код"  +1 +/
Сообщение от Аноним (??) on 25-Окт-11, 19:23 
Какие ещё контрольные суммы? man цифровая подпись.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "В поставке открытого форума MyBB обнаружен вредоносный код"  –1 +/
Сообщение от Аноним (??) on 25-Окт-11, 20:06 
>man цифровая подпись.

Аналог вроде md5sum -c ? Спасибо.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "В поставке открытого форума MyBB обнаружен вредоносный код"  +1 +/
Сообщение от Аноним (??) on 25-Окт-11, 20:09 
> Аналог вроде md5sum -c ? Спасибо.

Нет, цифровая подпись.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "В поставке открытого форума MyBB обнаружен вредоносный код"  +2 +/
Сообщение от Аноним (??) on 25-Окт-11, 20:13 
>> Аналог вроде md5sum -c ? Спасибо.
> Нет, цифровая подпись.

Я о простоте использования.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от Аноним (??) on 25-Окт-11, 20:18 
Лучше сразу поясню.
Алгоритм проверки контрольной суммы (хеша):
1) качаем тарбол
2) смотрим на оф. сайте, или чему мы там еще доверяем, хеш (или качаем текстовый файл с циферками)
3) md5sum

Хотелось бы узнать преимущества использования цифровой подписи, и алгоритм ручной проверки. С пакетными манагерами итак вся понятно и автоматизировано.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

18. "В поставке открытого форума MyBB обнаружен вредоносный код"  +2 +/
Сообщение от dry (ok) on 25-Окт-11, 21:31 
Если действительно хочется узнать, а не просто потролить,
то качаем Брюса Шнаера "Прикладная криптография".
Глава 2. Основные элементы протоколов -> 2.6 Цифровые подписи.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

21. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от BratSinot on 25-Окт-11, 23:02 
Если так, то уже проще md5sum запустить.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

25. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от Аноним (??) on 26-Окт-11, 00:18 
> Если действительно хочется узнать, а не просто потролить,
> то качаем Брюса Шнаера "Прикладная криптография".
> Глава 2. Основные элементы протоколов -> 2.6 Цифровые подписи.

Вот вы развели тут фигню, а всего-то надо было ответить что-то вроде

gpg --verify [[sigfile] [signed-files]]

Эх, никакого живого общения.

Профит по сравнению с md5sum при разовом применении отсутствует, ибо все равно нужно тянуть ключ. Некоторое удобство возникает лишь после импорта ключа. Ну про родные репы дистрибутива и не говорим - самое верное дело.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

26. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от eigrad (ok) on 26-Окт-11, 01:34 
Прочитал бы Шнаера. Удобство тут не причем.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

35. "В поставке открытого форума MyBB обнаружен вредоносный код"  +2 +/
Сообщение от Какаянахренразница on 26-Окт-11, 06:40 
Достали вы со своими шнайдерами. Нет, чтобы внятно ответить человеку.

Цифровая подпись лучше тем, что подлинность ключа гарантируется третьей стороной. Если нехорошие дяди вскроют сервер и внесут зло в распространяемый код, то нет никакой гарантии, что эти же дяди не подменят заодно и контрольные суммы на странице загрузки. А подписать пакет без сложных дополнительных телодвижений не получится. Вот как-то так...

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

37. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от Николайка on 26-Окт-11, 09:28 
Агга, агга ... а недавний скандал про подделку сертификатов у "третей стороны" я думаю все читали :) ... кароче нет ничего надежного :)
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

38. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от Аноним (??) on 26-Окт-11, 09:40 
Нельзя взломать только совесть. Да и то, лишь у некоторых. (С)
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от Аноним (??) on 26-Окт-11, 10:55 
> а недавний скандал про подделку сертификатов у "третей стороны" я думаю все читали :) ... кароче нет ничего надежного :)

Поэтому для проверки и удостоверения оригинальности ключа, в отличии от сертификатов, используется сеть доверия. А сертификат подписывается одним лицом. Об этом ещё в той новости писали.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

41. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от Аноним (??) on 26-Окт-11, 12:11 
Понятия "Доверие" и "безопасность" ортогональны. Удивлен? Компрометация одного участника сети равнозначна коллапсу всей сети доверия.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

51. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от Аноним (??) on 26-Окт-11, 23:09 
> Компрометация одного участника сети равнозначна коллапсу всей сети доверия.

С чего бы это? Вас кто-то заставляет верить только одному? Доверяйте только тем ключам, которые подписаны минимум тремя известными Вам людьми.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

47. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от Аноним (??) on 26-Окт-11, 15:00 
> Цифровая подпись лучше тем, что подлинность ключа гарантируется третьей стороной.

Подлинность ключа цифровой подписи не гарантируется ни кем. И я не думаю, что авторы озаботятся наличием сертификата одного из доступных (платных?) root CA. Все описанные прелести к само-выданному ключику отношения не имеют.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

48. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от the joker (ok) on 26-Окт-11, 19:38 
> Подлинность ключа цифровой подписи не гарантируется ни кем.

Гарантируется. Только вот верить третьей стороне или нет, каждый решает сам.

> И я не думаю, что авторы озаботятся наличием сертификата одного из доступных (платных?) root CA.

Ну, это ... просто догадки.

> Все описанные прелести к само-выданному ключику отношения не имеют.

Да, само-выданный ключик где-то эквивалентен само-собранным контрольным суммам.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

49. "В поставке открытого форума MyBB обнаружен вредоносный код"  +1 +/
Сообщение от Аноним (??) on 26-Окт-11, 20:40 
>> Подлинность ключа цифровой подписи не гарантируется ни кем.
> Гарантируется. Только вот верить третьей стороне или нет, каждый решает сам.

Нед. Подпись - лишь хеш, расшифрованный закрытым ключем. Сертификат - это когда ключик (ну и прочий мусор), использованный для формирования подписи, подписан удостоверяющим центром. Т.о. возможно построение иерархии.

> Да, само-выданный ключик где-то эквивалентен само-собранным контрольным суммам.

Забавно смотрятся доморощенные репозитарии, для "надежной" установки из которых требуется предварительно скачать от-туда же и ключик. Хаксору, понятное дело, ничего не мешает положить рядом с распространяемым ПО и свой ключ.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

57. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от arisu (ok) on 30-Окт-11, 12:34 
> Забавно смотрятся доморощенные репозитарии, для «надежной» установки из которых требуется
> предварительно скачать от-туда же и ключик.

поэтому не надо его там хранить, вот и всё.

а в принципе — ничему не доверяй. ведь ничто не мешает хаксору упереть ключик прямо с машины девелопера.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

56. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от arisu (ok) on 30-Окт-11, 12:32 
> Достали вы со своими шнайдерами. Нет, чтобы внятно ответить человеку.

«достали вы своей физикой! нет, чтобы внятно ответить человеку, что трамвай ездит так: 'бжжжж-звяк-звяк!'»

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

46. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от Аноним (??) on 26-Окт-11, 14:51 
> Прочитал бы Шнаера. Удобство тут не причем.

Либо ты отвечаешь _тут_ и по сути вопроса, либо я засчитываю повторный слив (первый потерли).

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

4. "В поставке открытого форума MyBB обнаружен вредоносный код"  +4 +/
Сообщение от anonymous (??) on 25-Окт-11, 19:24 
> С целью предотвращения подобных инцидентов в будущем, разработчики MyBB намерены начать распространение контрольных сумм

Т.е. в использовании eval они подвоха так и не заподозрили. Удач.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В поставке открытого форума MyBB обнаружен вредоносный код"  +1 +/
Сообщение от Аноним (??) on 25-Окт-11, 19:28 
Про git они наверно не слышали...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от Аноним (??) on 25-Окт-11, 20:05 
Через git нельзя распространять тарболлы.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

17. "В поставке открытого форума MyBB обнаружен вредоносный код"  +1 +/
Сообщение от Anonim (??) on 25-Окт-11, 21:04 
Через веб интерфейс спокойно можно скачать архив определенной версии.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

31. "В поставке открытого форума MyBB обнаружен вредоносный код"  –1 +/
Сообщение от Аноним (??) on 26-Окт-11, 03:39 
> Через веб интерфейс спокойно можно скачать архив определенной версии.

И с новой версией git'а или интерфейса у него будет изменится чексумма, ага.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от Andrey Mitrofanov on 25-Окт-11, 21:32 
> Через git нельзя распространять тарболлы.

А подписанные исходники -- можно. Па-ра-докс!!

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

30. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от Аноним (??) on 26-Окт-11, 03:38 
Кому они нужны россыпью? Софт распространяется тарболлами.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

36. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от тигар (ok) on 26-Окт-11, 08:33 
> Кому они нужны россыпью? Софт распространяется тарболлами.

у СпецЫалистаф софт распространяется deb`ами

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

43. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от Аноним (??) on 26-Окт-11, 14:01 
> у СпецЫалистаф софт распространяется deb`ами

deb'ы это одноразовый мусор. Весь source-based живёт на тарболах, потому что их можно сохранять локально, миррорить и, собственно, проверять их чексуммы.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

44. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от тигар (ok) on 26-Окт-11, 14:03 
>> у СпецЫалистаф софт распространяется deb`ами
> deb'ы это одноразовый мусор. Весь source-based живёт на тарболах, потому что их
> можно сохранять локально, миррорить и, собственно, проверять их чексуммы.

спасибо за просветление, но я в курсе.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

50. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от Аноним (??) on 26-Окт-11, 20:43 
>Весь source-based живёт на тарболах, потому что их
> можно сохранять локально, миррорить и, собственно, проверять их чексуммы.

Итак:
1) сохранять локально
2) миррорить
3) проверять чексумы

Что из перечисленного нельзя делать с бинарными пакетами?

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

58. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от arisu (ok) on 30-Окт-11, 12:36 
> Весь source-based живёт на тарболах, потому что

…кульхацкеры-сборщики-из-исходников cannot into VCS.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

7. "В поставке открытого форума MyBB обнаружен вредоносный код"  +1 +/
Сообщение от Аноним (??) on 25-Окт-11, 20:04 
Все отлично, пару проектов взломают - тысяча других о безопасности подумает(а часть может и усилит защиту, а не только подумает).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "В поставке открытого форума MyBB обнаружен вредоносный код"  +1 +/
Сообщение от Аноним (??) on 25-Окт-11, 20:42 
>С целью предотвращения подобных инцидентов в будущем, разработчики MyBB намерены начать распространение контрольных сумм для проверки целостности изначально опубликованных архивов.
>Контрольные суммы планируется распространять через сторонний сервер, чтобы исключить ситуацию, при которой злоумышленники могут подменить файлы с контрольными суммами.
>Второй вариант, который рассматривают разработчики MyBB - использование для организации загрузки релизов сетей доставки контента (CDN).

Эти люди не слышали про OpenPGP/GnuPG? Срочно им расскажите, а то бедные опять костыли городят.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "В поставке открытого форума MyBB обнаружен вредоносный код"  +1 +/
Сообщение от Клыкастый (ok) on 25-Окт-11, 23:46 
Хромую лошадь можно не подковывать
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

59. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от arisu (ok) on 30-Окт-11, 12:37 
> Эти люди не слышали про OpenPGP/GnuPG?

тебе eval в коде ни на что не намекает?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

20. "В поставке открытого форума MyBB обнаружен вредоносный код"  +2 +/
Сообщение от delin email on 25-Окт-11, 21:41 
Больше похоже на преднамеренный "бекдор", чем на "они к нам залезли хз как, заменили хз как, и у нас нету инфы кто и когда", который был кем то спален.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от Anon21 email on 26-Окт-11, 00:10 
Потому что, блин, скачивать надо из Git'а.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "В поставке открытого форума MyBB обнаружен вредоносный код"  +1 +/
Сообщение от Аноним (??) on 26-Окт-11, 03:40 
> Потому что, блин, скачивать надо из Git'а.

Не надо скачивать из git'а. Да и нельзя.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "В поставке открытого форума MyBB обнаружен вредоносный код"  +1 +/
Сообщение от eigrad (ok) on 26-Окт-11, 03:08 
блин... ни одного форума уязвимого найти не могу, мало слишком народу под раздачу попало %(
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "В поставке открытого форума MyBB обнаружен вредоносный код"  +1 +/
Сообщение от eigrad (ok) on 26-Окт-11, 03:19 
попадается много форумов с надписью "закрыто"... как будто их кто-то через этот бэкдор и позакрывал)
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

33. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от eigrad (ok) on 26-Окт-11, 04:23 
а не, это просто я нуб. ТЫСЯЧИ ИХ
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

45. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от DFX (ok) on 26-Окт-11, 14:37 
>> Разработчики считают, что проблема безопасности присутствует не в коде их CMS, который не распространяется публично, а в используемых внешних фреймворках.

ога, ога - "мы не знаем где дыра, но уж точно не у нас!".
стоило бы всё таки сначала найти косяк и опубликовать, перед тем как воспевать security-trough-obscurity в своём закрытом коде и срать на "сторонние открытые фреймворки". как-то это лицемерненько выглядит от вроде как открытого проекта.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

60. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от arisu (ok) on 30-Окт-11, 12:38 
> ога, ога — «мы не знаем где дыра, но уж точно не у нас!».

…"ведь мы умеем круто использовать eval!"

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

52. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от Аноним (??) on 26-Окт-11, 23:11 
Я один не понял, на зачем вообще там eval?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "В поставке открытого форума MyBB обнаружен вредоносный код"  +/
Сообщение от arisu (ok) on 30-Окт-11, 12:30 
eval. уносите, пациент неоперабелен.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру