Autres projets personnels: blog modulable PHP Minimus | Mini cms sans base de données PHP Nanomus | Sécurité Firewall universel pour site en PHP et Stop Spam Referer
PHP Maximus CMS

Faille de securite sur bbtomax

Tous les tuyaux sur phpBB intégré dans Maximus: addons, sécurités ...

Faille de securite sur bbtomax

Messagede epsylon » Mar 26 Sep, 2006 3:41 pm

salut

http://bbtomax.com/bbtomax_official_sit ... _0_0_.html

en resume on peut encore force l'inscription via le forum
donc en attendant l'addon fermer totalement en forum aux inscriptions
l´erreur est humaine, mais pardonner est en dehors des capacités du systeme d´exploitation
aide | http://maximus-canada.com
epsylon
Team Dev Maximus
Team Dev Maximus
 
Messages: 12338
Inscription: Jeu 28 Avr, 2005 12:00 pm
Localisation: fr

Messagede epsylon » Mar 26 Sep, 2006 5:00 pm

le fix est corrigé

merci a Darthois pour ca :)

mis à jour dans la 1.0.2 :)
fix sur bbtomax aussi

Attention le fix est fait pour la 1.0.2
l´erreur est humaine, mais pardonner est en dehors des capacités du systeme d´exploitation
aide | http://maximus-canada.com
epsylon
Team Dev Maximus
Team Dev Maximus
 
Messages: 12338
Inscription: Jeu 28 Avr, 2005 12:00 pm
Localisation: fr

Messagede GravuTrad » Mar 26 Sep, 2006 9:26 pm

Et pour les versions antérieures?
Avatar de l’utilisateur
GravuTrad
Maitre S Maximus
Maitre S Maximus
 
Messages: 6775
Inscription: Jeu 12 Mai, 2005 12:00 pm
Localisation: be

Messagede epsylon » Mar 26 Sep, 2006 9:46 pm

c'est explique dans le bug manager
mais bon sous BS passer en 1.0.2 c'est preferable
l´erreur est humaine, mais pardonner est en dehors des capacités du systeme d´exploitation
aide | http://maximus-canada.com
epsylon
Team Dev Maximus
Team Dev Maximus
 
Messages: 12338
Inscription: Jeu 28 Avr, 2005 12:00 pm
Localisation: fr

Messagede GravuTrad » Mer 27 Sep, 2006 8:22 pm

l'explication n'est pas assez explicite sur le bug manager, tu peux la mettre au complet stp? merci...(overall header? includes?) et le fermer si ok...
Avatar de l’utilisateur
GravuTrad
Maitre S Maximus
Maitre S Maximus
 
Messages: 6775
Inscription: Jeu 12 Mai, 2005 12:00 pm
Localisation: be

Messagede epsylon » Mer 27 Sep, 2006 8:47 pm

faut virer le login.php son lien dans le overall_header.tpl

et ensuite

Dans le fichier modules/forum/profile.php

trouver
Code: Tout sélectionner
"include('includes/usercp_register.php');


remplace par ou supprimer la ligne

Code: Tout sélectionner
// "include('includes/usercp_register.php');
l´erreur est humaine, mais pardonner est en dehors des capacités du systeme d´exploitation
aide | http://maximus-canada.com
epsylon
Team Dev Maximus
Team Dev Maximus
 
Messages: 12338
Inscription: Jeu 28 Avr, 2005 12:00 pm
Localisation: fr

Messagede GravuTrad » Mer 27 Sep, 2006 8:51 pm

Merci epsy.
Avatar de l’utilisateur
GravuTrad
Maitre S Maximus
Maitre S Maximus
 
Messages: 6775
Inscription: Jeu 12 Mai, 2005 12:00 pm
Localisation: be

Re: Faille de securite sur bbtomax

Messagede GravuTrad » Mer 19 Nov, 2008 8:17 pm

Urgent, hack.

http://forums.phpbb-fr.com/support-util ... 55025.html

J'ai vécu le cas à l'instant en plus, sur un phpbb 2.0.23 avec category hierarchy. (mais même attaque à la même heure et chez ovh aussi, mais découvert aujourd'hui car fonctionnel qu'après refresh du cache de category hierarchy.
on fait quoi pour le remettre correct?)

Est ce que bbtomax est concerné svp merci.
Avatar de l’utilisateur
GravuTrad
Maitre S Maximus
Maitre S Maximus
 
Messages: 6775
Inscription: Jeu 12 Mai, 2005 12:00 pm
Localisation: be

Re: Faille de securite sur bbtomax

Messagede Cyril » Mer 19 Nov, 2008 8:33 pm

salut à mon avis dans maximus, ça ne passe pas

c'est une faille de phpbb, mais si on ausculte bien le code phpbb n'a que très peu de points de sécurité ( c'est pas la panacée du all-secure quoi :( )

si tu as le même soucis, à priori le hack modifie une table de ce que j'ai lu
ce qui veut dire que tant que la faille ne sera pas fermée, le mec qui a trouvé va pouvoir s'amuser :(

existe t il le truc de sécurité allemand pour phpbb3 comme on a dans orion ?
car ça c'est déjà un pas en avant pour la sécurité de phpbb, je comprend même pas pourquoi ce n'est pas d'origine ce type de trucs, certes c'est contraignant, mais entre remttre un script troué et faire le minimum y'a un gouffre :(

franchement, quelque part ça me désole, et quelque part ça me tord de rire

je ne devrais pas le dire remarque :)


nota: phpbb dans maximus est en quelque sorte encapsulé par les sécurités et les contrôle de maximus, ça ne laisse en rien les portes ouvertes !

en toute franchise, ouvrir un site sous phpbb, moi je ne le fais pas, j'ai ouvert sous orion car j'ai lu le code et ile me semble être correct ( mais je n'ai pas la confiance que je peux accorder en maximus c'est certain )

tiens un détail simple j'aimerai bien voir comment les sessions sont traitées dans phpbb3, on pourrait bien avoir des surprises très simples de ce coté :(

bon courage dans tous les cas
Image
- Le projet Maximus CMS sur SourceForge
Maximus, CMS fun pour internautes funs
Vous voulez un cms plus petit PHP Minimus, un cms minimaliste PHP Nanomus, un pare feu pour votre site PHP Firewall
Avatar de l’utilisateur
Cyril
Développeur Maximus CMS
Développeur Maximus CMS
 
Messages: 17309
Inscription: Mar 26 Avr, 2005 12:00 pm
Localisation: fr

Re: Faille de securite sur bbtomax

Messagede GravuTrad » Mer 19 Nov, 2008 9:34 pm

Bon, en effet la table forums, et plus particulièrement le champ forum_name a été modifié avec l'url http://informatique.vndv.com.

une remise de tous les noms de chaque forum et sous-forum dans la table et un vidage du cache a résolu le pb, mais pas la faille bien sûr.

Je suis curieux de savoir par où il est passé. et de savoir si ca peut toucher d'autres choses comme type de faille...

T'as pas une petite idée cyril? ou epsy?

Sûr que bbtomax n'est pas touché?
Dernière édition par GravuTrad le Mer 19 Nov, 2008 9:37 pm, édité 1 fois.
Avatar de l’utilisateur
GravuTrad
Maitre S Maximus
Maitre S Maximus
 
Messages: 6775
Inscription: Jeu 12 Mai, 2005 12:00 pm
Localisation: be

Re: Faille de securite sur bbtomax

Messagede epsylon » Mer 19 Nov, 2008 9:36 pm

salut

bah non la 1.0.2 tu peux pas injecté de memoire
quand a la 1.0.3 vu le renommage en cours et les tables qui ne sont plus en dur ca va etre hardos pour eux
l´erreur est humaine, mais pardonner est en dehors des capacités du systeme d´exploitation
aide | http://maximus-canada.com
epsylon
Team Dev Maximus
Team Dev Maximus
 
Messages: 12338
Inscription: Jeu 28 Avr, 2005 12:00 pm
Localisation: fr

Re: Faille de securite sur bbtomax

Messagede Cyril » Mer 19 Nov, 2008 10:02 pm

ne t'affole pas gravur :)

y'a bien quelqu'un qui trouvera ou qui dénoncera la faille à un moment ou à un autre
quand un mec à trouvé un truc, et qu'il le montre généralement ça fait vite un effet de poudre

alors à moins que phpbb ne livre pas un correctif rapidos, il n'y a plus qu'une chose à faire : serrer les fesses :)

au fait avais tu le script de sécurisation allemand dont on avait parlé une fois ???
Image
- Le projet Maximus CMS sur SourceForge
Maximus, CMS fun pour internautes funs
Vous voulez un cms plus petit PHP Minimus, un cms minimaliste PHP Nanomus, un pare feu pour votre site PHP Firewall
Avatar de l’utilisateur
Cyril
Développeur Maximus CMS
Développeur Maximus CMS
 
Messages: 17309
Inscription: Mar 26 Avr, 2005 12:00 pm
Localisation: fr

Re: Faille de securite sur bbtomax

Messagede epsylon » Mer 19 Nov, 2008 10:07 pm

methode A -> patch phpbb

methode B -> decoder la partie inscription du forum
c'est a l'etude :)
l´erreur est humaine, mais pardonner est en dehors des capacités du systeme d´exploitation
aide | http://maximus-canada.com
epsylon
Team Dev Maximus
Team Dev Maximus
 
Messages: 12338
Inscription: Jeu 28 Avr, 2005 12:00 pm
Localisation: fr

Re: Faille de securite sur bbtomax

Messagede GravuTrad » Jeu 20 Nov, 2008 3:44 am

Non pas sur celui là. Celui là est un phpbb 2.0.23 prémoddé avec category hierarchy.

L'autre dont tu parles était un phpbb 2.0.x avec ctracker. On a basculé sur ce forum sur un phpbb 3...(ctracker s'y met aussi?)
Avatar de l’utilisateur
GravuTrad
Maitre S Maximus
Maitre S Maximus
 
Messages: 6775
Inscription: Jeu 12 Mai, 2005 12:00 pm
Localisation: be

Re: Faille de securite sur bbtomax

Messagede GravuTrad » Jeu 20 Nov, 2008 4:39 am

Cyril, je souhaiterais envisager de basculer ce forum phpbb prémoddé ch en ta version phpbb premod. existe t'il un convertisseur?

ps: sur ton site phpbb-premod.com, j'ai le compte bloqué car me rappelle plus de mon pass, et ca me demande la vérification visuelle mais rien ne s'affiche, et donc je peux pas déverrouiller mon compte....
Avatar de l’utilisateur
GravuTrad
Maitre S Maximus
Maitre S Maximus
 
Messages: 6775
Inscription: Jeu 12 Mai, 2005 12:00 pm
Localisation: be

Suivante

Retourner vers Forum dédié au support bbToMax avant 1.0.3

 


  • Articles en relation
    Réponses
    Vus
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités

cron
Maximus Autres projets Aide Contribuer Sites associés Publicités

Partenaire hébergement professionnel www.hebeh.com, votre hébergement de qualité à bas prix.
Retrouvez PHP Maximus sur Facebook et sur Twitter.