phpBB 2.0.21 Vulnerable

[mitch]

Lo que se desactiva es la SUBIDA de avatar, desde el PC o desde otras URL externas.
Y si había gente de tu foro Selena, que había subido sus avatares a tu espacio web, y no se ven al realizar el cambio de esas dos cosas, pues consúltales cual imagen era, y se las subes a imageshack, o les enseñas a hacerlo a ellos, y que lo enlacen desde esa fuente externa.

[confundido]

Lo que se desactiva es la SUBIDA de avatar, desde el PC o desde otras URL externas.
Y si había gente de tu foro Selena, que había subido sus avatares a tu espacio web, y no se ven al realizar el cambio de esas dos cosas, pues consúltales cual imagen era, y se las subes a imageshack, o les enseñas a hacerlo a ellos, y que lo enlacen desde esa fuente externa. O tú mismo como administrador accedes al ACP donde sí que ves su avatar aunque hayas deshabilitado la subida remota. Entonces con situarte sobre él ves el nombrajo raro 90402392334.jpg que el PLUS le ha asignado y en el link remoto pues ya metes sin más la ruta donde realmente está ubicado: http://www.tudominio.com/images/avatars/90402392334.jpg ... ¿no?

Más que nada lo propongo como alternativa (engorrosa, manual y que los admins nos tragamos pero bueno ) para hacer visibles esos que habían sido subidos mediante este sistema porque es lo que se me ha ocurrido a mí ahora que estoy revisando algunas fichas de usuarios a los que no se les ve. ¿Es seguro? O sea, esta solución que propongo, ¿no implica ningún riesgo, no?

Saludos!

[BEN-HUR]

Me he fijado que en este foro, lo teneís activado, ¿ es que el XS no tiene esa vulneravilidad ? ¿ ó tiene más seguridad por otro lado y ese fallo no le afecta ? es curiosidad.

[ThE KuKa]

mod_security en Apache Server aleja ciertos ataques BEN-HUR aparte de la modificacion de Martin (creador de Minerva) instalada en common.php y otros archivos de este foro.

No nos afecta.

[BEN-HUR]

mod_security en Apache Server aleja ciertos ataques BEN-HUR aparte de la modificacion de Martin (creador de Minerva) instalada en common.php y otros archivos de este foro.

No nos afecta.Gracias ThE KuKa , era solo curiosidad, es bueno maximizar toda seguridad.

[ThE KuKa]

De nada BEN-HUR, eso si, recalco que lo mas seguro de cara al Administrador de un foro, es desactivar esa funcion de Avatars.

[kernelpanic81]

Muchas gracias por el aviso The Kuka, acabo de deshabilitar la subida de avatares a mi foro y he restituído "a manopla" los avatares de los usuarios para que no se me quejen. Es mi primer mensaje. Acabo de empezar con esto y ando bastante perdido... llevo todo el día leyendo el foro de phpbb.com y no habia encontrado ninguna vulnerabilidad para la versión 2.0.21, sin embargo vosotros la habéis destapado GRACIAS!!!!

Un saludo a todos!!.

[JANU1535]

llevo todo el día leyendo el foro de phpbb.com y no habia encontrado ninguna vulnerabilidad para la versión 2.0.21, sin embargo vosotros la habéis destapado Desgraciadamente no es la primera vez que pasa.
En este caso es la subida de avatares.
Pero se recuerda que el HTML habilitado aun es vulnerable.
Y la pagina oficial en ingles de phpBB sigue sin decir nada jejeje.

Un saludooo.

[kernelpanic81]

Pero se recuerda que el HTML habilitado aun es vulnerable. También fue otra cosa que tapé anoche después de leerme un montón de hilos del foro gracias otra vez
Por cierto, hoy me he bajado nuevamente la version 2.0.21 que necesitaba para unas pruebas y al hacer una instalación "limpia" curiosamente, la subida de avatares aparece en 'no' por defecto en las 3 casillas... Esto venía ya deshabilitado o curiosamente "se ha cambiado"? ... Me apuesto una birra a que lo destaparán el día que publiquen la primera versión estable de Olympus jiji.

Saludos.

[Jestei]

mmm... vaya putada... no tenía ni idea de esta vulnerabilidad.

¿No hay alguna forma de parchearla aunque sea manualmente sin que haya que desactivar la subida de avatares?

Lo digo porque precisamente en su día desactivé los avatares externos porque no había forma de tener un control sobre el tamaño y me pasaba la vida reduciéndolos... ahora están todos subidos en el servidor.
El problema es que si lo desactivo ahora desaparecerán todos los avatares!!! y si permito los externos dejaré de tener control sobre el tamaño, y aun así también desaparecerán todos los avatares de los usuarios... y son muchos.

Es un problema bastante grave...

[ThE KuKa]

Desde el ACP puedes desactivar esa opcion.

S@lu2

[Jeronimo]

Puede que sea eso lo que le ha ocurrido a nuestro foro. En estos momentos lo tenemos deshabilitado porque al parecer consume todos los recursos del servidor donde lo tenemos alojado. Según nos han comentado se abren un montón de conexiones (que no sabemos de dónde vienen porque no hay tantos usuarios conectados en ese momento) y el servidor peta con el consumo por encima del 200%.

¿Es eso lo que ocurre en el problema de los avatares? Lo pregunto porque como os digo lo tenemos sin activar hasta que no les ofrezcamos algo "coherente" a la empresa que lo aloja. Muchas gracias!!!!!!!!!

[Nazcar]

no jeronimo no es eso,no tiene nada que ver ,pero no diremos que problema en concreto hay para evitar a los listillos que busquen como locos exploits del tema.Bastante gentuza hay por internet como para que tengamos script kiddies también

[Jeronimo]

no jeronimo no es eso,no tiene nada que ver ,pero no diremos que problema en concreto hay para evitar a los listillos que busquen como locos exploits del tema.Bastante gentuza hay por internet como para que tengamos script kiddies también Muchas gracias por la rápida respuesta, Nazcar. La verdad es que tenía la esperanza que fuera eso y así solucionar nuestro problema... Porque lo cierto es que le he dado cienmil vueltas a vuestra magnífica web, como aconsejáis en vuestras recomendaciones de uso, antes de preguntar, y no veo qué puede ser. ¿Me podrías sugerir algún hilo donde mirar o me aconsejas que directamente inicie un hilo con el problema?

Muchas gracias de nuevo. Y perdonad por las molestias!!

[Nazcar]

tu problema es bien simple como permites avatars remotos cuando alguien se conecta tu phpbb pide esos avatars para el cache,ahora bien eso de mucha conexiones como no seas mas concreto seguramente son llamadas al mysql.En todo caso abre un tema nuevo con todos los datos necesarios, y los aportados por tu SAT del hosting