轉貼....phpBB2漏洞

linux相關問題與技術

轉貼....phpBB2漏洞

文章littlelai711 » 週五 4月 22, 2005 8:05 pm

phpBB2 在 2.0.12(及之前的版本),存在二個嚴重的漏洞,第一個可讓任何人取得管理者權限;第二個會洩露路徑。

注意 ! Debian 目前的版本 2.0.12-x 亦有此一漏洞。

請儘速升級或修補。

修改方法如下:

編輯 includes/sessions.php

尋找程式碼:

if( $sessiondata['autologinid'] == $auto_login_key )

換成:

if( $sessiondata['autologinid'] === $auto_login_key )


編輯 viewtopic.php

尋找:

$message = str_replace('\"', '"', substr(preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "preg_replace('#\b(" . $highlight_match . ")\b#i', '\\\\1', '\\0')", '>' . $message . '<'), 1, -1));

換成:

$message = str_replace('\"', '"', substr(@preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "@preg_replace('#\b(" . $highlight_match . ")\b#i', '\\\\1', '\\0')", '>' . $message . '<'), 1, -1));

純文字檔:

http://mmm.lxer.idv.tw/secfix/phpbb2/ph ... -fixed.txt


中文消息來源:

http://mmm.lxer.idv.tw

消息原始來源
littlelai711
 
文章: 75
註冊時間: 週一 7月 07, 2003 1:33 am

回到 linux技術討論

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 0 位訪客

cron