phpBB 2.0.21 Vulnerable

[ThE KuKa]

Hola,

En su dia, mas exactamente el dia 15 de Septiembre, desactive la subida de Avatars al servidor de tomatoma.WS (por motivos de seguridad) aqui no hizo falta ya que NUNCA me gusto tener esa opciona activada por lo mismo.

Gran error mio no comunicar el problema en cuestion (aunque si lo comente en uno o varios temas) y decir LO SIENTO a quien le haya podido afectar de un modo u otro, con este mensaje lo comento a "modo oficial"

En su dia, alguien mediante MP me comunico el exploit de tipo RFI (o eso creo recordar) y realice lo comentado arriba (en tomatoma.WS) despues cree el anuncio oportuno, este:

http://www.tomatoma.ws/foros/viewtopic.php?t=9679

Os pido lo siguiente, y es IMPORTANTE:

• Desactivar la subida de avatars a vuestro servidor.
• Descativar la subida de avatars de otro servidor al vuestro (algunos sistemas lo tienen gracias a un MOD)
• Solo permitir enlazar avatrs desde otro servidor, o que los usuarios os lo envien por MP para subirlos vosotros mismos al servidor.

Por ahora poco mas comentar, aparte de TENER siempre actualizados vuestros foros, y como no, dar las GRACIAS al sitio oficial de phpBB por NO comunicar este BUG, NO comunicar el BUG de HTML en el ACP (mas que vulnerable) y NO comunicar NADA a sus cientos de miles de usuarios, tiene cojones.

S@lu2

[SuperNovato]

Pues mil gracias de parte de todos los que usamos phpBB AS ("A Secas").
Y de parte de los que solemos visitar con frecuencia phpBB.com (especialmente su foro de posibles bugs)
y, como bien dices, nunca encontramos nada.
Asias, The Kuka.

[KasLimon]

Gracias por el aviso ThE KuKa, no se me habria ocurrido nunca que los avatares pudiesen dar problemas...
Yo no me paso mucho por phpBB.com pero aun asi no es normal que no lo avisen...

Salu2

[ThE KuKa]

Asi es KasLimon, un error o BUG es un error o BUG, y la OBLIGACION de sus creadores es avisar a esos MILES de usuarios, que se dejan horas y horas por y para su foro, eso es un modo de no dar la cara, cuando creo que cuesta muy poco o nada, avisar de sus propios errores a estos.
Fijemonos en las anteriores versiones, no son NUEVAS versiones, si no, correcciones, errores fijados de versiones anteriores, eso hacen desde hace meses en phpBB.

Hace algunos meses estaba en el Grupo de International Support Team, YO mismo cancele mi cuenta en ese grupo de phpBB por NO entender su forma de ver y hacer las cosas.

S@lu2

[invi]

Gracias por notificarlo Kuka, a ver si ahora los problemas son menores..

[djnewtonmix]

Gracias ThE KuKa

En todo caso tengp habilitado solo el de enlazar avatar desde otro servidor, así que estoy bien

Saludos.

[SHARKILLO]

gracias por el aviso, pero yo siempre he tenido desactivado esa opcion por si acaso , ya que me resultaba un riesgo que un usuario pudiera subir algo al servidor

[braiank]

Cual es el BUG de HTML en el ACP (mas que vulnerable) ?

Saludos.

[ThE KuKa]

Cual es el BUG de HTML en el ACP (mas que vulnerable) ?

Saludos. Esta mas que tratado, simplemente no acives HTML en el ACP.

S@lu2

[Y3K]

Increible... no puedo creer que la gente de php haga eso... pero bueno, muchas gracias The KuKa por el aviso ... eres casi Dios xD!!!

[virtcof05]

En su dia, alguien mediante MP me comunico el exploit de tipo RFI (o eso creo recordar) y realice lo comentado arriba (en tomatoma.WS) despues cree el anuncio oportuno, este:

http://www.tomatoma.ws/foros/viewtopic.php?t=9679 Así es, lo que yo recuerdo que ese alguien fuí yo, un dia anterior a la publicación que hicistes en tomatoma, pero que bueno que lo hayas echo público aquí.-

Saludos.-

[ThE KuKa]

No recuerdo si tu tambien me lo comentaste, pero digamos que esa "fuente" que me manda exploits y otros Bugs no eras tu (al menos al que me referia) ya que NUNCA lo cito, ya que asi lo prefiere la "fuente".

En cualquier caso, gracias a ti tambien.

[cubano]

No recuerdo si tu tambien me lo comentaste, pero digamos que esa "fuente" que me manda exploits y otros Bugs no eras tu (al menos al que me referia) ya que NUNCA lo cito, ya que asi lo prefiere la "fuente".

En cualquier caso, gracias a ti tambien. aaa kuka mira si dices que hay un BUG en la suvida de avatar porque pueden suvir un xploit al foro.. si lo pueden suvir por el avatar lo podran suvir como attachement y sera peor..?? no creees??

[Selena]

Hola!
Antes que nada gracias por el aviso. En cuanto lo vi fuí directa a desactivarlo, pero ocurrió algo inesperado, en cuanto lo desactivé, dejaron de verse un montón de avatares de usuarios, que como es normal me enviaron privados para decirme que su avatar había adesaparecido.

Digo yo que serán los avatares de la gente que los subió a través del sistema que queremos desactivar, pero esto es una suposición mía sólo eh.

Misterio sin resolver.

Hay alguna solución para que pueda desactivar esa opción sin que desaparezcan los avatares de algunos usuarios?

[invi]

Selena la de avatares remotos, si tienes que desactivar esa, la unica solucion es que ellos te pasen el avatar y tu los subas a la galeria para que eligan el suyo.
Por lo pronto es mejor tener desactivado avatares remotos y subida de avatares desde pc, y habilitar galerias de avatares por más seguridad.