Címlap

Backdoor az e107 tartalomkezelőben

 ( trey | 2010. január 26., kedd - 9:43 )

A bugtraq egyik levele szerint az e107 névre hallgató tartalomkezelő rendszer legújabb, 0.7.17-es verziója PHP backdoor-t tartalmaz. Érdemes figyelni erre. Az e107 weboldalát - feltehetően a backdoor-t felhasználva - szétütötték a spammerek.

 »
  • A hozzászóláshoz belépés szükséges
  • 3121 olvasás

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.
 ( kr304 | 2010. január 26., kedd - 10:03 )

Azt persze nem írja a honlap, h feledékenységből maradt benne egy teszteléshez betett részlet, vagy már valaki bejutott a verziókövető repóba. Legalábbis címlapon, fórumokat nem néztem. Azt fel se tételezem, h szándékos.
Bizalomgerjesztő...

 ( saxus | 2010. január 26., kedd - 15:59 )

"egy teszteléshez betett részlet"

Ki rak bele ilyen kódot a rendszerébe? Linkelt cikket megnézted?

----------------
Lvl86 Troll

 ( kr304 | 2010. január 27., szerda - 1:06 )

megnéztem, nem értem miért nem érted.
elképzelhető, h vki hasonlót tesz be, ./configure --enable-debug --enable-JOZSI-debug szinten, hogy mellőzze az autentikációt, ami lehet néha hasznos is. konkrétan én a betett kódnak nem látom az ilyenfajta hasznát, de attól még lehet h van aki igen.

 ( saxus | 2010. január 29., péntek - 0:15 )

Ez egy PHP script. ./configure nem játszik (viszonylag kevés PHP-s rendszer van, amit parancssorból, és szerintem kb. 0 van, amit ./configure -val kell konfigolni).

Ez egy olyan PHP script, amely webes felületre készül. Webes felületen SE a PHP kód injektálását nem szeressük, a shell execet meg végképp nem.

Mégis milyen szituáció teszi egy minimálisan is indokoltnak a fenti kódrészletet? Ez egy backdoor, nincs mit rajta túlragozni.

----------------
Lvl86 Troll

 ( rezso | 2010. január 30., szombat - 17:37 )

A configure csak példa volt, nehogy szó szerint vedd már... :)

- rezso -

 ( hendrick | 2010. január 26., kedd - 17:32 )

CVS-ben nyoma sincs a hivatkozott kódrészletnek. (exploit1) Mivel feltételezem hogy a saját oldalukat befoltozták így csak egy exploit2 útján cserélhette le a hivatkozott zip fájlt valaki, ami pont az exploit3-ra adott security update közzétételére lett időzítve :)
Lehet hogy túl sok exploitot találtak meg a devek és valaki kétségbeesetten az utolsó pillanatban megpróbált még egyet becsempészni a package-be :) YEAH

 ( Replaced | 2010. január 26., kedd - 18:02 )

exploitot?

--
NetBSD - Simplicity is prerequisite for reliability

 ( hendrick | 2010. január 27., szerda - 9:32 )

http://e107.org/comment.php?comment.news.857 Csak lusták voltak, illetve lassúak a saját oldal patchelésével. Valaki egy utolsó de emlékezetes kihasználásával az exploitnak lecserélte a hivatkozott full install zip csomagot és elhelyezte a backdoort. Az upgrade csomag vagy a cvs nem volt érintett a backdoorral. Úgy tűnik, hogy a devek csak a cvs-sel vannak elfoglalva...

 ( zeroms | 2010. január 26., kedd - 10:30 )

Funny:
if(md5($_COOKIE['access-admin']) == "cf1afec15669cb96f09befb7d70f8bcb") {

 ( Hunger | 2010. január 26., kedd - 11:05 )

így nem tudja akárki kihasználni a backdoort, csak aki telepítette :)

 ( tucsok | 2010. január 26., kedd - 11:25 )

Az első online MD5 hash adatbázisban amit néztem, benne is benne is volt a cookie értéke.

 ( Hunger | 2010. január 26., kedd - 12:19 )

eh, igen? én nem néztem, de ha ez igaz, akkor eléggé gyanús, hogy kiddiek

 ( marcabru | 2010. január 26., kedd - 11:32 )

Jelenleg maga az http://e107.org/ (kattintás csak Noscripttel ajánlott...) is fel van törve.

 ( szotsaki | 2010. január 26., kedd - 14:52 )

Jaja, elég vicces így, hogy írnak a security hibáról, és közben a saját oldaluk is fel van nyomva :D
Amúgy Operában: Jobb katt > Oldal beállítások szerkesztése > Scriptek > Disable. Máris más a felhasználói élmény :)

--
Elder Scrolls

 ( wladek1 | 2010. január 26., kedd - 20:52 )

LOLBa...mmeg

"-Pedig vegetariánus vagyok; csak növényevő állatokat fogyasztok!"
azenoldalamponthu

 ( csorfab | 2010. január 27., szerda - 11:37 )

Ki használ e107-et, és miért tenne ilyet? És mit keres ez a HUP-on? Legközelebb a PHPNuke-ról fogunk hírt kapni? :)

---
http://xkcd.com/258/

Apple MacBook Pro 13"
C2D 2.26GHz/3MB | 4GB@1067MHz | 160GB@5400rpm SATAII

 ( trey | 2010. január 27., szerda - 13:42 )

17 emberben volt kedvence idén.

--
trey @ gépház

 ( kikke | 2010. január 27., szerda - 17:22 )

A nyolcadik utas kétszer, de ki a harmadik?

 ( rezso | 2010. január 27., szerda - 15:20 )

Drupal hírek is vannak a hup-on, akkor ez is elfér, nem? Ne egy irányba nézzünk, mint szovjet hadsereg a Vörös téren...

- rezso -

 ( bfoto | 2010. január 29., péntek - 19:14 )

En pl. annak idejen ezzel kezdtem, mert egyszerubbnek tunk nulla elokepzettseggel, mint a Drupal (persze idovel atalltam, de meg mindig van e107-es oldalam). Letoltos oldalakat (csoportokkal, jogosultsagokkal) nagyon gyorsan ossze lehet dobalni vele.

 ( Skuzzy | 2010. augusztus 9., hétfő - 14:05 )

Aki vagy akinek ugyfele hasznal ilyet, nezzen ra, mert sorra torik oket megint, ha nem a legfrisebb.