Bugs en smf 1.1.7

Iniciado por :ohk<any>, 6 Febrero 2009, 15:54 PM

0 Miembros y 2 Visitantes están viendo este tema.

sirdarckcat

nono, el problema es que estas 2 vulnerabilidades que reporto Xianur0 (y una desde noviembre del 2008), son de alto riesgo, no requieren privilegios, y son de cosas muy muy comunes.
en este caso las vulnerabilidades no son en mods, pero desde 1.1.0 hay problemas de seguridad muy graves en cada version. La analogia de windows no es correcta, porque en Windows se corrigen muchisimas vulnerabilidades de las cuales nunca nos enteramos, porque en Microsoft las descubren y las arreglan..

En cualquier caso, afortunadamente en el foro arreglamos las vulnerabilidades antes de que fueran publicas en milw0rm.. y ahora andamos tras 1.1.8 con los parches oficiales. Pero probablemente no siempre tendremos la suerte de que asi sea.

Estaria bien hacer un taller de buscar vulnerabilidades a SMF =P, a alguien le interesa?

Nakp

Cita de: ohk en  6 Febrero 2009, 15:54 PM
Smf 1.1.7 tiene problemas?

You're using an outdated version of SMF, which contains some bugs which have since been fixed. It is recommended that you update your forum to the latest version as soon as possible. It only takes a minute!

Es recomendable y estable usar el smf 1.1.8 ?

Gracias por sus respuestas.
Un saludo

solo te digo algo... sobre estabilidad, no tienes que esperar ni nada porque estas actualizaciones no añaden "features", sino que corrigen problemas, muy diferente es el salto de 1.1.X a 2.0 pero de 1.1.X a 1.1.X+1 es solo bugfix xD

salu2
Ojo por ojo, y el mundo acabará ciego.

sirdarckcat

Y me acabo de dar cuenta que este no lo arreglaron bien:
http://milw0rm.com/exploits/7959

Bah..

Novlucker

Por eso dije  ;D ...

Cita de: Novlucker en  6 Febrero 2009, 19:25 PM
En definitiva, puede que si sea culpa del sistema, pero si se da la posibilidad de crear "complementos" hay veces en que es difícil también tener controlados estos complementos  :-\

Lo que en esta ocasión es error de SMF no hay duda, me refería al caso que comenta el-brujo, donde es problema de phplist y no del foro en si, sin embargo seguro son varios lo que dirán ... "PhpBB es inseguro" ... justamente por esto  :-\

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Carloswaldo

Cita de: sirdarckcat en  6 Febrero 2009, 20:32 PM
Estaria bien hacer un taller de buscar vulnerabilidades a SMF =P, a alguien le interesa?

A mi me interesa, pero creo que ya deberíamos empezar con la versión 2.0 (la rc1), hacer un foro de pruebas y buscar todas las vulnerabilidades posibles, una vez que salga la final hacer una revisión y migrar. Que muy pronto smf 1.1 quedará en la historia...

Dacan

Bueno por fin salieron los bug's a la luz del SMF 1.1.7, pero estuve probando en un foro mio y solo me funciono el CSRF en PackageGet.php los demás no..

Saludos, Dacan  :D

jdc

En 10 meses han pasado de la 1.1.4 a la 1.1.8 aún así me quedó con smf me gusta bastante :)

WHK

CitarEstaria bien hacer un taller de buscar vulnerabilidades a SMF =P, a alguien le interesa?
A mi me interesa, es mas.. si vas a la sección de bugs en simplemachines podrás ver muchisimos bugs reportados que nunca aparecieron en ningún sitio de advisorie porque son muchos y los parches aparecen antes de ser expuestos y los que si son conocidos son los que se publican antes de ser parchado.

Lo mas recomendable en este caso es utilizar no-script como precaución mínima si es que tienes alguna cuenta de permisos elevados en un sistema web cualquiera como Administrador, moderador, publicador de noticias, etc y nunca navegar en tu sistema web con tu usuario logueado para evitar ataques aunque en este caso en especial el atacante puede enviarte el script de ataque por medio del privado forzando al administrador a estar logueado para visualizarlo.

Carloswaldo

Al menos que leas el privado desde tu mail antes de iniciar sesión en el foro. :P

Nakp

Cita de: Novlucker en  6 Febrero 2009, 20:57 PM
Por eso dije  ;D ...

Cita de: Novlucker en  6 Febrero 2009, 19:25 PM
En definitiva, puede que si sea culpa del sistema, pero si se da la posibilidad de crear "complementos" hay veces en que es difícil también tener controlados estos complementos  :-\

Lo que en esta ocasión es error de SMF no hay duda, me refería al caso que comenta el-brujo, donde es problema de phplist y no del foro en si, sin embargo seguro son varios lo que dirán ... "PhpBB es inseguro" ... justamente por esto  :-\



vos tenes síndrome de falta de atención? te citas y te citas xDDD
Ojo por ojo, y el mundo acabará ciego.