Autor
|
Tema: Bugs en smf 1.1.7 (Leído 11,891 veces)
|
sirdarckcat
Aspirante a supervillano
Moderador
Desconectado
Mensajes: 7.029
No estoy loco, soy mentalmente divergente
|
nono, el problema es que estas 2 vulnerabilidades que reporto Xianur0 (y una desde noviembre del 2008), son de alto riesgo, no requieren privilegios, y son de cosas muy muy comunes. en este caso las vulnerabilidades no son en mods, pero desde 1.1.0 hay problemas de seguridad muy graves en cada version. La analogia de windows no es correcta, porque en Windows se corrigen muchisimas vulnerabilidades de las cuales nunca nos enteramos, porque en Microsoft las descubren y las arreglan..
En cualquier caso, afortunadamente en el foro arreglamos las vulnerabilidades antes de que fueran publicas en milw0rm.. y ahora andamos tras 1.1.8 con los parches oficiales. Pero probablemente no siempre tendremos la suerte de que asi sea.
Estaria bien hacer un taller de buscar vulnerabilidades a SMF =P, a alguien le interesa?
|
|
|
En línea
|
|
|
|
Nakp
casi es
Ex-Staff
Desconectado
Mensajes: 6.336
he vuelto :)
|
Smf 1.1.7 tiene problemas?
You're using an outdated version of SMF, which contains some bugs which have since been fixed. It is recommended that you update your forum to the latest version as soon as possible. It only takes a minute!
Es recomendable y estable usar el smf 1.1.8 ?
Gracias por sus respuestas. Un saludo
solo te digo algo... sobre estabilidad, no tienes que esperar ni nada porque estas actualizaciones no añaden "features", sino que corrigen problemas, muy diferente es el salto de 1.1.X a 2.0 pero de 1.1.X a 1.1.X+1 es solo bugfix xD salu2
|
|
|
En línea
|
Ojo por ojo, y el mundo acabará ciego.
|
|
|
sirdarckcat
Aspirante a supervillano
Moderador
Desconectado
Mensajes: 7.029
No estoy loco, soy mentalmente divergente
|
Y me acabo de dar cuenta que este no lo arreglaron bien: http://milw0rm.com/exploits/7959Bah..
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Colaborador
Desconectado
Mensajes: 10.683
Yo que tu lo pienso dos veces
|
Por eso dije ... En definitiva, puede que si sea culpa del sistema, pero si se da la posibilidad de crear "complementos" hay veces en que es difícil también tener controlados estos complementos Lo que en esta ocasión es error de SMF no hay duda, me refería al caso que comenta el-brujo, donde es problema de phplist y no del foro en si, sin embargo seguro son varios lo que dirán ... "PhpBB es inseguro" ... justamente por esto
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD "Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein
|
|
|
Carloswaldo
Traductor
Moderador Global
Desconectado
Mensajes: 4.764
Nos reservamos el derecho de ban.
|
Estaria bien hacer un taller de buscar vulnerabilidades a SMF =P, a alguien le interesa?
A mi me interesa, pero creo que ya deberíamos empezar con la versión 2.0 (la rc1), hacer un foro de pruebas y buscar todas las vulnerabilidades posibles, una vez que salga la final hacer una revisión y migrar. Que muy pronto smf 1.1 quedará en la historia...
|
|
|
En línea
|
|
|
|
Dacan
|
Bueno por fin salieron los bug's a la luz del SMF 1.1.7, pero estuve probando en un foro mio y solo me funciono el CSRF en PackageGet.php los demás no.. Saludos, Dacan
|
|
|
En línea
|
|
|
|
jdc
|
En 10 meses han pasado de la 1.1.4 a la 1.1.8 aún así me quedó con smf me gusta bastante
|
|
|
En línea
|
|
|
|
WHK
|
Estaria bien hacer un taller de buscar vulnerabilidades a SMF =P, a alguien le interesa? A mi me interesa, es mas.. si vas a la sección de bugs en simplemachines podrás ver muchisimos bugs reportados que nunca aparecieron en ningún sitio de advisorie porque son muchos y los parches aparecen antes de ser expuestos y los que si son conocidos son los que se publican antes de ser parchado. Lo mas recomendable en este caso es utilizar no-script como precaución mínima si es que tienes alguna cuenta de permisos elevados en un sistema web cualquiera como Administrador, moderador, publicador de noticias, etc y nunca navegar en tu sistema web con tu usuario logueado para evitar ataques aunque en este caso en especial el atacante puede enviarte el script de ataque por medio del privado forzando al administrador a estar logueado para visualizarlo.
|
|
|
En línea
|
|
|
|
|
Nakp
casi es
Ex-Staff
Desconectado
Mensajes: 6.336
he vuelto :)
|
Por eso dije ... En definitiva, puede que si sea culpa del sistema, pero si se da la posibilidad de crear "complementos" hay veces en que es difícil también tener controlados estos complementos Lo que en esta ocasión es error de SMF no hay duda, me refería al caso que comenta el-brujo, donde es problema de phplist y no del foro en si, sin embargo seguro son varios lo que dirán ... "PhpBB es inseguro" ... justamente por esto vos tenes síndrome de falta de atención? te citas y te citas xDDD
|
|
|
En línea
|
Ojo por ojo, y el mundo acabará ciego.
|
|
|
|
|