Foro de elhacker.net

Smf 1.1.7 tiene problemas?

You're using an outdated version of SMF, which contains some bugs which have since been fixed. It is recommended that you update your forum to the latest version as soon as possible. It only takes a minute!

Es recomendable y estable usar el smf 1.1.8 ?

Gracias por sus respuestas.
Un saludo

Seguro que indentificas al responsable  :P



Que dice al pie del foro?  ;)

Saludos

Gracias por el dato del bug.

Pues si vi en el pie del foro, pero da el caso de que cuando estabamos en la smf 1.1.5 aqui en el foro actualizaron a smf 1.1.6 y como resultado es que al poco tiempo pillaron mas bugs aun y tuvieron que saltar al 1.1.7

Pero muchas gracias

jaja que crack sdc, no me habia enterado. Felicidades para el!

Lo mismo digo, felicidades es un buen programador y analista  :D

 :o Ignoraba el curriculum de Sirdarckat , es impresionante http://www.sirdarckcat.net/

(Espero que no se tome como spam XD)

hay varios fallos más, uno "grave" CSRF en PackageGet.php

Si hay otros mas:
http://milw0rm.com/exploits/7959
http://milw0rm.com/exploits/7866

Descubiertos por Xianur0.

Es muy importante que actualizen.

Ya le perdi la confianza a SMF.. demasiadas vulns..

buahhh, eres un exagerado sdc jejeje

El portal web de PhpBB hackeado
http://www.websecurity.es/?q=portal-web-phpbb-hackeado

pero bueno, no fue culpa del phpbb (No vulnerabilities have been found in the phpBB software itself.) era el phplist!

phpbb se ganó una fama injusta para mi gusto de "inseguro" y SMF de más seguro.

---

El sitio Web de PhpBB ha sido hacheado debido a un ataque de unos hackers que han conseguido explotar una vulnerabilidad en PHPList.

PhpBB(PHP Bulletin Board) es un sistema de foros gratuito programados en PHP y lanzado bajo la Licencia pública general de GNU, cuya intención es la de proporcionar fácilmente, y con amplia posibilidad de personalización, una herramienta para crear comunidades.

Si accedéis en estos momentos a la página de phpBB se puede ver la siguiente imagen, en la cual dan una breve descripción de los motivos por los cuales la web está en mantenimiento.
Websecurity.es-Imagen del sitio Web de phpBB hacekado

Desde phpBB recomienda a sus usuarios que cambien la contraseña por si los atacantes han conseguido acceder a ella.

Además recuerda que no es buena idea tener la misma contraseña para todos los sitios Web a los que sueles acceder, ya que si alguna vez un atacante obtiene tu contraseña es posible que intente acceder a otras páginas, como Facebook, Twitter,…

Según el responsable del ataque los detalles de más de 400.000 cuentas fueron interceptados, incluyendo nombres, direcciones de correo electrónico y contraseñas hash, además afirma que ha creado un script que fue capaz de romper las contraseñas de más de 28.000 usuarios.

Esta claro en como es costumbre, no todo es culpa de la aplicación o el sistema en si, como pasa cada vez que dicen "nueva vulnerabilidad en windows", y resulta que es culpa de flash u otra aplicación instalada, o sin ir más lejos tenemos lo planteado por WHK hace un tiempo:
   
Falla en el mod Seo4SMF para SMF (http://foro.elhacker.net/nivel_web/falla_en_el_mod_seo4smf_para_smf-t241029.0.html)

En definitiva, puede que si sea culpa del sistema, pero si se da la posibilidad de crear "complementos" hay veces en que es difícil también tener controlados estos complementos  :-\

Saludos

nono, el problema es que estas 2 vulnerabilidades que reporto Xianur0 (y una desde noviembre del 2008), son de alto riesgo, no requieren privilegios, y son de cosas muy muy comunes.
en este caso las vulnerabilidades no son en mods, pero desde 1.1.0 hay problemas de seguridad muy graves en cada version. La analogia de windows no es correcta, porque en Windows se corrigen muchisimas vulnerabilidades de las cuales nunca nos enteramos, porque en Microsoft las descubren y las arreglan..

En cualquier caso, afortunadamente en el foro arreglamos las vulnerabilidades antes de que fueran publicas en milw0rm.. y ahora andamos tras 1.1.8 con los parches oficiales. Pero probablemente no siempre tendremos la suerte de que asi sea.

Estaria bien hacer un taller de buscar vulnerabilidades a SMF =P, a alguien le interesa?

solo te digo algo... sobre estabilidad, no tienes que esperar ni nada porque estas actualizaciones no añaden "features", sino que corrigen problemas, muy diferente es el salto de 1.1.X a 2.0 pero de 1.1.X a 1.1.X+1 es solo bugfix xD

salu2

Y me acabo de dar cuenta que este no lo arreglaron bien:
http://milw0rm.com/exploits/7959

Bah..

Por eso dije  ;D ...


Lo que en esta ocasión es error de SMF no hay duda, me refería al caso que comenta el-brujo, donde es problema de phplist y no del foro en si, sin embargo seguro son varios lo que dirán ... "PhpBB es inseguro" ... justamente por esto  :-\

A mi me interesa, pero creo que ya deberíamos empezar con la versión 2.0 (la rc1), hacer un foro de pruebas y buscar todas las vulnerabilidades posibles, una vez que salga la final hacer una revisión y migrar. Que muy pronto smf 1.1 quedará en la historia...

Bueno por fin salieron los bug's a la luz del SMF 1.1.7, pero estuve probando en un foro mio y solo me funciono el CSRF en PackageGet.php los demás no..

Saludos, Dacan  :D

En 10 meses han pasado de la 1.1.4 a la 1.1.8 aún así me quedó con smf me gusta bastante :)

A mi me interesa, es mas.. si vas a la sección de bugs en simplemachines podrás ver muchisimos bugs reportados que nunca aparecieron en ningún sitio de advisorie porque son muchos y los parches aparecen antes de ser expuestos y los que si son conocidos son los que se publican antes de ser parchado.

Lo mas recomendable en este caso es utilizar no-script como precaución mínima si es que tienes alguna cuenta de permisos elevados en un sistema web cualquiera como Administrador, moderador, publicador de noticias, etc y nunca navegar en tu sistema web con tu usuario logueado para evitar ataques aunque en este caso en especial el atacante puede enviarte el script de ataque por medio del privado forzando al administrador a estar logueado para visualizarlo.

Al menos que leas el privado desde tu mail antes de iniciar sesión en el foro. :P

vos tenes síndrome de falta de atención? te citas y te citas xDDD

Bueno gracias por las aclaraciones, la verdad hace un tiempo tenia intenciones de utilizar phpBB pero luego vi que no era precisamente el mas estable, aunque fuera de eso me atraia mucho su aspecto y su facilidad de administracion en algunos aspectos.


Estamos en la misma situacion, ya nose que mas puede pasar ahora.
Por lo pronto me interesaria ...


Aunque para ser sincero me gustaria escuchar antes cuanto conocimiento se requiere para buscar vulnerabilidades y en que campos.

Un saludo
OHK

yo cuando me puse a leer el codigo de smf me perdi en seguida, esta tan lleno de includes y funciones que no se por donde seguir leyendo :S si dan alguna guia seria mas facil.. o mejor practico mas php :P



y si se desarrolla un nuevo sistema de foros en elhacker?

No es necesario ser un gurú de php para buscar vulnerabilidades en smf.

Desarrollar un sistema así de grande sería una labor un tanto... complicada.

tambien ponerlo en la lista negra de webs en el firefox =D


el smf tiene de comodo que la administracion general la podes hacer sin tocar el code mediante el panel....si se haria una nuevo estaria expuesto a muchos posibles errores y ademas o se tendria que desarollar todo el panel de administracion o administrar desde el code :P

no es buena idea hacer eso a menos que sea solo un proyecto.