Faille de securite sur bbtomax

epsylon · Inscrit le: Apr 28, 2005 Messages: 12127 77463 points Lieu de résidence

salut

http://bbtomax.com/bbtomax_official_site_posts_viewtopic_92_0_0_.html

en resume on peut encore force l'inscription via le forum
donc en attendant l'addon fermer totalement en forum aux inscriptions

epsylon · **Sujet du message:** *Posté le: Mar 26 Sep, 2006 4:00 pm*

le fix est corrigé

merci a Darthois pour ca Smile

mis à jour dans la 1.0.2 Smile

fix sur bbtomax aussi

Attention le fix est fait pour la 1.0.2

GravuTrad · **Sujet du message:** *Posté le: Mar 26 Sep, 2006 8:26 pm*

Et pour les versions antérieures?

epsylon · **Sujet du message:** *Posté le: Mar 26 Sep, 2006 8:46 pm*

c'est explique dans le bug manager
mais bon sous BS passer en 1.0.2 c'est preferable

GravuTrad · **Sujet du message:** *Posté le: Mer 27 Sep, 2006 7:22 pm*

l'explication n'est pas assez explicite sur le bug manager, tu peux la mettre au complet stp? merci...(overall header? includes?) et le fermer si ok...

epsylon · **Sujet du message:** *Posté le: Mer 27 Sep, 2006 7:47 pm*

faut virer le login.php son lien dans le overall_header.tpl

et ensuite

Dans le fichier modules/forum/profile.php

trouver

GravuTrad · **Sujet du message:** *Posté le: Mer 27 Sep, 2006 7:51 pm*

Merci epsy.

GravuTrad · Inscrit le: May 12, 2005 Messages: 5081 50147 points Lieu de résidence

Urgent, hack.

http://forums.phpbb-fr.com/support-utilisation-phpbb2/sujet155025.html

J'ai vécu le cas à l'instant en plus, sur un phpbb 2.0.23 avec category hierarchy. (mais même attaque à la même heure et chez ovh aussi, mais découvert aujourd'hui car fonctionnel qu'après refresh du cache de category hierarchy.
on fait quoi pour le remettre correct?)

Est ce que bbtomax est concerné svp merci.

Cyril · Inscrit le: Apr 26, 2005 Messages: 15910 126494 points Lieu de résidence

salut à mon avis dans maximus, ça ne passe pas

c'est une faille de phpbb, mais si on ausculte bien le code phpbb n'a que très peu de points de sécurité ( c'est pas la panacée du all-secure quoi Sad

)

si tu as le même soucis, à priori le hack modifie une table de ce que j'ai lu
ce qui veut dire que tant que la faille ne sera pas fermée, le mec qui a trouvé va pouvoir s'amuser Sad

existe t il le truc de sécurité allemand pour phpbb3 comme on a dans orion ?
car ça c'est déjà un pas en avant pour la sécurité de phpbb, je comprend même pas pourquoi ce n'est pas d'origine ce type de trucs, certes c'est contraignant, mais entre remttre un script troué et faire le minimum y'a un gouffre Sad

franchement, quelque part ça me désole, et quelque part ça me tord de rire

je ne devrais pas le dire remarque Smile

nota: phpbb dans maximus est en quelque sorte encapsulé par les sécurités et les contrôle de maximus, ça ne laisse en rien les portes ouvertes !

en toute franchise, ouvrir un site sous phpbb, moi je ne le fais pas, j'ai ouvert sous orion car j'ai lu le code et ile me semble être correct ( mais je n'ai pas la confiance que je peux accorder en maximus c'est certain )

tiens un détail simple j'aimerai bien voir comment les sessions sont traitées dans phpbb3, on pourrait bien avoir des surprises très simples de ce coté Sad

bon courage dans tous les cas

GravuTrad · Inscrit le: May 12, 2005 Messages: 5081 50147 points Lieu de résidence

Bon, en effet la table forums, et plus particulièrement le champ forum_name a été modifié avec l'url http://informatique.vndv.com.

une remise de tous les noms de chaque forum et sous-forum dans la table et un vidage du cache a résolu le pb, mais pas la faille bien sûr.

Je suis curieux de savoir par où il est passé. et de savoir si ca peut toucher d'autres choses comme type de faille...

T'as pas une petite idée cyril? ou epsy?

Sûr que bbtomax n'est pas touché?

epsylon · Inscrit le: Apr 28, 2005 Messages: 12127 77463 points Lieu de résidence

salut

bah non la 1.0.2 tu peux pas injecté de memoire
quand a la 1.0.3 vu le renommage en cours et les tables qui ne sont plus en dur ca va etre hardos pour eux

Cyril · Inscrit le: Apr 26, 2005 Messages: 15910 126494 points Lieu de résidence

ne t'affole pas gravur Smile

y'a bien quelqu'un qui trouvera ou qui dénoncera la faille à un moment ou à un autre
quand un mec à trouvé un truc, et qu'il le montre généralement ça fait vite un effet de poudre

alors à moins que phpbb ne livre pas un correctif rapidos, il n'y a plus qu'une chose à faire : serrer les fesses Smile

au fait avais tu le script de sécurisation allemand dont on avait parlé une fois ???

epsylon · Inscrit le: Apr 28, 2005 Messages: 12127 77463 points Lieu de résidence

methode A -> patch phpbb

methode B -> decoder la partie inscription du forum
c'est a l'etude Smile

GravuTrad · Inscrit le: May 12, 2005 Messages: 5081 50147 points Lieu de résidence

Non pas sur celui là. Celui là est un phpbb 2.0.23 prémoddé avec category hierarchy.

L'autre dont tu parles était un phpbb 2.0.x avec ctracker. On a basculé sur ce forum sur un phpbb 3...(ctracker s'y met aussi?)

GravuTrad · Inscrit le: May 12, 2005 Messages: 5081 50147 points Lieu de résidence

Cyril, je souhaiterais envisager de basculer ce forum phpbb prémoddé ch en ta version phpbb premod. existe t'il un convertisseur?

ps: sur ton site phpbb-premod.com, j'ai le compte bloqué car me rappelle plus de mon pass, et ca me demande la vérification visuelle mais rien ne s'affiche, et donc je peux pas déverrouiller mon compte....