Warning: strpos(): needle is not a string or an integer in /membri2/drudo/blog-r/index.php on line 31

Warning: strpos(): needle is not a string or an integer in /membri2/drudo/blog-r/index.php on line 37
blog ¦ drudo (-rw-r--r--)
 
Simple PHP Blog Hacked!
Ieri 3 settembre il sito del progetto Simple PHP Blog è stato sotto attacco da un psuedo-cracker che è riuscito a cancellare i messaggi presenti fino a quel momento.

La vulnerabilità sfruttata dovrebbe essere Image File Upload Vulnerability già segnalata da Secunia.com come "Less critical" (tanto less non mi pare...).

Ad ogni modo come si può leggere ora sullo stesso sito, grazie alla falla non corretta è stato possibile uppare un file chiamato "HACK.php.JPG" e di conseguenza altri "cmd.php", "c99shell.php", "remview.php" e "webadmin.php" sempre nella cartella delle immagini. Dopo questo punto il danno...

La soluzione che viene indicata è questa:
If you are running SPHPBlog (any version) please delete the upload_img.php, and upload_img_cgi.php files from your install (until we fix them.) Also, if you were hacked, please be aware that they installed a "backdoor" in the "script/sb_login.php" file in the check_password function. The backdoor password is "1nf0"...

Traduco grossolanamente:
Cancellare (per il momento) i file "upload_img.php" e "upload_img_cgi.php".
Se si è stati attaccati sappiate che è stato installato un "backdoor" nella funzione check_password nel file "script/sb_login.php". La password è "1nf0" ...

Sostituire il file "sb_login.php" con uno stesso file presente nei reposity di SourceForge.

Speriamo che con questo attacco il progetto abbia riacquistato nuovo vigore :)

Raccomandazioni
  1. Fissare i bug segnalati fin d'ora con le soluzioni proposte (Arbitrary File Deletion, Anti Spam Code bug, Exposure of User Credentials, ecc.)
  2. Fare un backup regolare
  3. Cancellare i file install*.php
  4. Seguire il nostro forum (:D) e il sito ufficiale!


Bug Arbitrary File Deletion (SPB 0.x.x)
Altro bug scoperto per il nostro Simple PHP Blog considerato da Secunia.com (Advisory SA16616) come Moderately critical!
Il bug permetterebbe a chiunque di cancellare i commenti (e non solo!) sul nostro povero blog!

Cito dal sito Zone-H.org:
Kenneth F. Belva ha scoperto una vulnerabilità in Simple PHP Blog, la quale può essere sfruttata da un utente remoto per manipolare informazioni sensibili.

La vulnerabilità è dovuta al fatto che l'input passato al parametro 'comment' in 'comment_delete_cgi.php' non è validato correttamente prima di essere usato per cancellare i commenti. Tale vulnerabilità può essere sfruttata da un utente malevolo per cancellare file arbitrari.

La vulnerabilità può essere ulteriormente sfruttata per cambiare lo username e la password dell'amministratore, attraverso la cancellazione del file delle password 'config/password.txt', e accedendo allo script di installazione 'install03_cgi.php'.

La vulnerabilità è stata riscontrata nella versione 0.4.0. Altre versioni potrebbero essere affette dal problema.


Soluzione:
Nessuna patch ufficiale disponibile al momento;
Editare il codice sorgente in modo da validare correttamente l'input.


Il bacherozzo ad ogni modo è davvero semplice da risolvere basta infatti aprire il file comment_delete_cgi.php e sostituire la riga:

$logged_in = logged_in( false, true );
con:
$logged_in = logged_in( true, true );

in modo che la pagina stessa richieda il login. Insomma si tratta solo di una innocente svista del buon Alex :-P

Per tutti i dettagli e per le soluzioni alternative vi rimando a questo link:
http://www.ftusecurity.com/pub/sphpblog_vulns

Bug Anti-Spam Code (SPB 0.4.2 e 0.4.3)
Il buon Giulio ha scoperto proprio ieri un bug che affligge l'anti-spam delle versioni 0.4.2 e 0.4.3 di Simple PHP Blog. In pratica inserendo un commento nel blog con un browser in cui JavaScript e Cookie siano stati disabilitati è possibile inviare lo stesso senza immettere il codice anti-spam generato automaticamente.

Per fixare il problema basta modificare una riga nel file comment_add_cgi.php come ci spiega Giulio in questo post sul forum SPBItalia:
http://spbitalia.altervista.org/forum/v ... .php?id=41

Altro piccolo problema nell'inserimento di commenti è la possibilità di inserire questi anche senza completare il campo "Nome" (obbligatorio di default) poichè la condizione viene verificata sempre attraverso JS.
Per questo attendiamo Giulio che dovrebbe aver già sistemato!
Sullo stesso post nel forum c'è il fix!


Indietro Altre notizie