Bugs en smf 1.1.7

[sirdarckcat]

nono, el problema es que estas 2 vulnerabilidades que reporto Xianur0 (y una desde noviembre del 2008), son de alto riesgo, no requieren privilegios, y son de cosas muy muy comunes.
en este caso las vulnerabilidades no son en mods, pero desde 1.1.0 hay problemas de seguridad muy graves en cada version. La analogia de windows no es correcta, porque en Windows se corrigen muchisimas vulnerabilidades de las cuales nunca nos enteramos, porque en Microsoft las descubren y las arreglan..

En cualquier caso, afortunadamente en el foro arreglamos las vulnerabilidades antes de que fueran publicas en milw0rm.. y ahora andamos tras 1.1.8 con los parches oficiales. Pero probablemente no siempre tendremos la suerte de que asi sea.

Estaria bien hacer un taller de buscar vulnerabilidades a SMF =P, a alguien le interesa?

[Nakp]

Smf 1.1.7 tiene problemas?

You're using an outdated version of SMF, which contains some bugs which have since been fixed. It is recommended that you update your forum to the latest version as soon as possible. It only takes a minute!

Es recomendable y estable usar el smf 1.1.8 ?

Gracias por sus respuestas.
Un saludo

solo te digo algo... sobre estabilidad, no tienes que esperar ni nada porque estas actualizaciones no añaden "features", sino que corrigen problemas, muy diferente es el salto de 1.1.X a 2.0 pero de 1.1.X a 1.1.X+1 es solo bugfix xD

salu2

[sirdarckcat]

Y me acabo de dar cuenta que este no lo arreglaron bien:
http://milw0rm.com/exploits/7959

Bah..

[Novlucker]

Por eso dije  ...

En definitiva, puede que si sea culpa del sistema, pero si se da la posibilidad de crear "complementos" hay veces en que es difícil también tener controlados estos complementos 

Lo que en esta ocasión es error de SMF no hay duda, me refería al caso que comenta el-brujo, donde es problema de phplist y no del foro en si, sin embargo seguro son varios lo que dirán ... "PhpBB es inseguro" ... justamente por esto 

[Carloswaldo]

Estaria bien hacer un taller de buscar vulnerabilidades a SMF =P, a alguien le interesa?

A mi me interesa, pero creo que ya deberíamos empezar con la versión 2.0 (la rc1), hacer un foro de pruebas y buscar todas las vulnerabilidades posibles, una vez que salga la final hacer una revisión y migrar. Que muy pronto smf 1.1 quedará en la historia...

[Dacan]

Bueno por fin salieron los bug's a la luz del SMF 1.1.7, pero estuve probando en un foro mio y solo me funciono el CSRF en PackageGet.php los demás no..

Saludos, Dacan 

[jdc]

En 10 meses han pasado de la 1.1.4 a la 1.1.8 aún así me quedó con smf me gusta bastante

[WHK]

Estaria bien hacer un taller de buscar vulnerabilidades a SMF =P, a alguien le interesa?

A mi me interesa, es mas.. si vas a la sección de bugs en simplemachines podrás ver muchisimos bugs reportados que nunca aparecieron en ningún sitio de advisorie porque son muchos y los parches aparecen antes de ser expuestos y los que si son conocidos son los que se publican antes de ser parchado.

Lo mas recomendable en este caso es utilizar no-script como precaución mínima si es que tienes alguna cuenta de permisos elevados en un sistema web cualquiera como Administrador, moderador, publicador de noticias, etc y nunca navegar en tu sistema web con tu usuario logueado para evitar ataques aunque en este caso en especial el atacante puede enviarte el script de ataque por medio del privado forzando al administrador a estar logueado para visualizarlo.

[Carloswaldo]

Al menos que leas el privado desde tu mail antes de iniciar sesión en el foro.

[Nakp]

Por eso dije  ...

En definitiva, puede que si sea culpa del sistema, pero si se da la posibilidad de crear "complementos" hay veces en que es difícil también tener controlados estos complementos 

Lo que en esta ocasión es error de SMF no hay duda, me refería al caso que comenta el-brujo, donde es problema de phplist y no del foro en si, sin embargo seguro son varios lo que dirán ... "PhpBB es inseguro" ... justamente por esto 

vos tenes síndrome de falta de atención? te citas y te citas xDDD