Incroyable mais vrai -> Un nouvelle faille pour php ?

[Ohax]

Censured

 

[Erazor]

euh ..tu parles de phpBB ?
( :twisted: je suis en train d'installer àa ! )

 

[Ohax]

je parle de tous les sites qui utilisent une base de donnée

attention : ce n'est pas un fake

 

[Genzo]

Faut quej je retrouve l'article parlant du cryptage des données de config :lol:

 

[Ohax]

La faille conserne aussi bien phpbb que phpnuke, xoops, et compagnie


en attendant je vous conseille d'adapter ces solutions sur votre site :

http://forums.phpbb-fr.com/viewtopic_64849.html
http://forums.phpbb-fr.com/viewtopic_68361.html

 

[toutankhaton]

La faille conserne aussi bien phpbb que phpnuke, xoops, et compagnie


en attendant je vous conseille d'adapter ces solutions sur votre site :

http://forums.phpbb-fr.com/viewtopic_64849.html
http://forums.phpbb-fr.com/viewtopic_68361.html

Pour la premiere astuce (crypter le fichier config) on peux remettre le fichier a.php en chmod 644 après ?

 

[Pouzy]

Purée Ohax .. il demande de pas diffuser ..

on né ke 2 a la connaitre, et on c jurer de
la dire a personne tant kel serai po corriger Smile

Ecoute le un peu !

 

[Genzo]

Purée Ohax .. il demande de pas diffuser ..

on né ke 2 a la connaitre, et on c jurer de
la dire a personne tant kel serai po corriger Smile

Ecoute le un peu !

En même temps sa source elle même (à Ohax) se contredit, vu qu'il lui a dit à quoi correspondait la faille :?

 

[TOMHTML]

beau bordel à prévoir dans la sécurité informatique...
heureusement que je suis 100% HTML et 0% base de données

 

[Orion33]

Purée Ohax .. il demande de pas diffuser ..

on né ke 2 a la connaitre, et on c jurer de
la dire a personne tant kel serai po corriger Smile

Ecoute le un peu !

+1

 

[yuston]

La n'est pas le problème, le problème est de boucher tout ca le plus rapidement possible... et de toute facon ca va changer quoi qu'Ohax le diffuse ou non, personne ne connaît exactement cette faille... comment l'exploiter,.... ceci dit, je ne crois pas trop que cette faille existe réelement mais bon, vu qu'en n'est pas le 1re avril je commence a douter....

 

[Pouzy]

Purée Ohax .. il demande de pas diffuser ..

on né ke 2 a la connaitre, et on c jurer de
la dire a personne tant kel serai po corriger Smile

Ecoute le un peu !

En même temps sa source elle même (à Ohax) se contredit, vu qu'il lui a dit à quoi correspondait la faille :?

Oui, le but est de protéger les webmasters sous PhpBB, pas de diffuser l'info a tous les hackeurs potentiels qui se jetteraient sur l'occas' ..

 

[Ohax]

tout a été censuré au moment du topic

je ne voit pas en quoi ce topic pourrait aider les hackers étant donné que la moindre petite info a été censurée

le but est plus préventif et nous vous conseillons d'adapter ces solutions sur votre site :

http://forums.phpbb-fr.com/viewtopic_64849.html
http://forums.phpbb-fr.com/viewtopic_68361.html

ou de les adapter à votre config.php



edit : j'ai censuré l'intégralité

 

[¥€$]

Y a aucun hacker ici, dis-nous comment on fait Ohax...

 

[Ohax]

Dis-nous comment on fait Ohax...

il faut se mettre une plume dans le cul et faire le tour du paté maison à poil sous un imperméable

 

[raspoutine59]

La seule façon de voir en clair le fichier config.php serait d'empecher le serveur de l'interpreter. Donc forcement une url injection quelque part ! J'prefere encore savoir ou ce trouve cette conne d'injection plutot que de m'emmerder a renommer le fichier config.php ! Parce que si ça marche avec un ca marche avec tous les autres !!

 

[dmathieu]

et si tu peut obtenir la source de config.php, tu peut obtenir celle de index.php
donc, le nom du config.php, et donc, la source du fichier renommé...

 

[raspoutine59]

Bah oué, mais faut ce mettre une plume dans l'cul avant qu'on nous aide...........

 

[yuston]

Je ne pense pas que ca soit une bonne idée de divulgué, sur un forum, une telle information...imaginer le danger que ca représente....
Mais d'un autre côté, si on ne peut pas réaliser de test soit même, on pourrai penser que ca soit un canular

 

[raspoutine59]

Bah au vue du log MSN et de l'espece d'abruti qui parlé ca semble plus être un canular qu'autre chose. Ou alors c'est encore une de ces pucelles qui viens tout juste d'avoir le net et qui ce prend pour un hacker après avoir lu un document de deux lignes sur un site de newbies.

 

[fbparis]

si il y a vraiment une faille dans php, on peut en causer ici car ca veut dire qu'elle est deja connue, en tous cas elle est connue des hackers. et puis c un secret de polichinelle, dans moins de 24h si c vrai l'info sera dispo partout.

pourquoi vous en profitez pas pour mettre l'info en ligne tout de suite et ainsi faire la une de google actu ?

moi jmen vais glaner l'info directement aupres de la team php

 

[JeunZ]

La faille conserne aussi bien phpbb que phpnuke, xoops, et compagnie


en attendant je vous conseille d'adapter ces solutions sur votre site :

http://forums.phpbb-fr.com/viewtopic_64849.html
http://forums.phpbb-fr.com/viewtopic_68361.html

Ca fait deux ans que j'ai déjà sécurisé de cette façon... Et je pense que tous les gens qui ont un gros forum phpBB l'avaient déjà fait.

 

[jeroen]

Je ne suis pas sur phpbb mais sur un truc "fait main"

J'avais 2 petites questions :
1/ Je ne comprends pas trop l'importance de coder ses paramètres de connexion à la base ?

2/ Et la question 2 en découle : Quelle est la procédure ?

Merciiii

 

[rottman]

Je ne comprend pas, pourquoi le titre est "faille pour php" alors que l'on parle la d'une faille dans phpbb ?

Il faudra bien parler un jour ou l'autre de la faille... Autant le faire maintenant.

Sinon inutile d'ouvrir un topic, les utilisateurs de phpbb devraient deja tous etre au courant des modifications à y faire pour le sécuriser un maximum...

 

[Ohax]

ça ne conserne pas que phpbb ;-)

 

[sonikbuzz]

ça ne conserne pas que phpbb ;-)

C'est une faille dans php (une fonction php) ou une faille de sécu liée au codage ?

 

[Ohax]

ça conserne l'enssemble des sites web j'ai dit

donc il ne peut s'agir d'une erreur de codage ;-)

 

[JeunZ]

Si on en savait plus... C'est incroyable, les personnes malvaillante doivent certainement être au courant et nous non... Alors qu'on pourrait peut être commencer à protéger des choses

 

[sonikbuzz]

ça conserne l'enssemble des sites web j'ai dit
donc il ne peut s'agir d'une erreur de codage ;-)

devinette...
ok donc c'est une faille dans une function php ?

[edit] enfin bon je vais pas me prendre la tête pour une faille de plus 8) [/edit]

 

[raspoutine59]

On pourrait supprimer ce topic inutile merci.
J'vois pas l'interet de crier au loup pour ne rien divulger même en PV. Merci aux modos

 

[dmathieu]

surtout que si effectivement, la faille est si enorme, elle sera fixée d'ici 48h, l'équipe php est plutot réactive

 

[TOMHTML]

On pourrait supprimer ce topic inutile merci.
J'vois pas l'interet de crier au loup pour ne rien divulger même en PV. Merci aux modos

quelle autorité ridicule...
ce topic a au moins pour conséquence que les webmasters ayant un forum php** ne seront pas surpris de devoir mettre à jours leurs codes... la vigilence est plus active
mieux vaut prévenir que guérir...

 

[dmathieu]

tomhtml ca concerne toutes les personnes qui utilisent php, puisque c'est une faille dans le code php.
que ce soit un forum, une section membres, ... tout est susceptible d'utilise une bdd, ou un mot de passe

 

[Ohax]

juste 2 conseils

sécurisez votre config.php comme je l'ai indiqué et suivez TOUTES les mises à jours de très près


même si elles ne consernent pas php...

 

[sonikbuzz]

juste 2 conseils
sécurisez votre config.php comme je l'ai indiqué et suivez TOUTES les mises à jours de très près
même si elles ne consernent pas php...

Heu désolé je dois être bête...
Quel fichier config.php ?
J'ai pas de fichier config.php :lol:

 

[JeunZ]

le fichier config.php de phpBB...

 

[sonikbuzz]

le fichier config.php de phpBB...

Ok mais Ohax dit que ca concerne TOUS les sites en php.

 

[JeunZ]

Oui la faille...

Mais le config.php c'est que pour les phpBB ;-)

 

[sonikbuzz]

Oui la faille...
Mais le config.php c'est que pour les phpBB ;-)

Ok donc en gros si j'ai bien compris :
si on n'a pas de fichier sensible avec des noms évocateurs c'est déjà un bon point. :roll:

 

[Ohax]

ça ne sufft pas de changer le nom du fichier

 

[rottman]

En effet car, il existe des logiciels qu'utilisent les pirates qui permettent de voir l'arborescence d'un serveur.

 

[Ohax]

oui mais pas seulemment

la faille en question ne met pas seulemment votre site en danger mais elle met aussi votre code en danger

 

[sonikbuzz]

En effet car, il existe des logiciels qu'utilisent les pirates qui permettent de voir l'arborescence d'un serveur.

tu parles de l'arbo avant ou aprés le DOCUMENT_ROOT .
Si c'est aprés je suis pas choqué.
Si c'est avant ca me parait impossible (ou alors le serveur est déjà hacké)

 

[webbrain]

Bah au vue du log MSN et de l'espece d'abruti qui parlé ca semble plus être un canular qu'autre chose. Ou alors c'est encore une de ces pucelles qui viens tout juste d'avoir le net et qui ce prend pour un hacker après avoir lu un document de deux lignes sur un site de newbies.

ca me rappelle un vieux truc "Comment devenir hacker":lol:

http://www3.france-jeunes.net/read.php?tid=14990

 

[Boeing]

Bof il s'appel Ohax
ça vous dit rien Hoax ?
Et toi Ohax, tu t'es planté une plume dans le cul pour avoir eu cette pseudo-faille ?

 

[Pouzy]

Y a aucun hacker ici, dis-nous comment on fait Ohax...

A part qu'on est partout sur google

Un petit complément à Ohax :arrow: -http://www.aidoforum.com/tutoriaux-161-securiser-votre-forum-phpbb.html

 

[Tex]

phpbb.com a subi une attaque DoS ce week end, ils n'ont pas été hackés (du moins c'est ce qu'ils disent). d'aprés eux il n'y a pas de nouvelle faille connue.

source phpbb.com

 

[itsme]

Je repete ce qui a deja ete dit mais quel interret de crier

Incroyable mais vrai -> Un nouvelle faille pour php ?

sans pour autant decrire la faille ?

Repondre qu'il faut securiser tel ou tel fichier n'apporte rien puisque on est deja sense le faire.

Decrire la faille - au moins dans ses grands trait - serait plus efficace pour sensibiliser les webmasters.

A l'heure actuelle - d'apres moi - ce post n'a aucun interret et semble plus un Hoax (sans/avec jeu de mot) qu'a autre chose :?

Si on en savait plus... C'est incroyable, les personnes malvaillante doivent certainement être au courant et nous non... Alors qu'on pourrait peut être commencer à protéger des choses

+1

On pourrait supprimer ce topic inutile merci.
J'vois pas l'interet de crier au loup pour ne rien divulger même en PV. Merci aux modos

+1

 

[Patrice A.]

Il est aussi risible de renommer un fichier spécifique à une application spécifique pour une faille concernant le langage lui-même que de confier sa sécurité à un cryptage tiers proposé par les annonciateurs de la faille en question.

 

[m@thieu]

Repondre qu'il faut securiser tel ou tel fichier n'apporte rien puisque on est deja sense le faire.

tout à fait d'accord
surtout que les liens données proposent de sécuriser le fichier "config.php" ce qui n'a pas de sens puisque ce fichier est seulement lisible par les scripts qui sont dans le site donc aucun danger

 

[itsme]

urtout que les liens données proposent de sécuriser le fichier "config.php" ce qui n'a pas de sens puisque ce fichier est seulement lisible par les scripts qui sont dans le site donc aucun danger

...en théorie, oui.
mais non si - par exemple - tu as sur le site un script dont la fonction est d'afficher le contenu d'un fichier et que ce script puisse etre detourne d'une mainiere ou d'une autre.
Si c'est ca, la fameuse faille, ca ne valait pas le coup de faire tout ce foin pour un si vieux truc.

 

[e-kiwi]

ben c est juste une faille de développeurs, pas de php ... comme souvent

 

[m@thieu]

Si c'est ca, la fameuse faille, ca ne valait pas le coup de faire tout ce foin pour un si vieux truc.

:mrgreen:

 

[Genzo]

Bon bah on va le rendre un peu utile alors ce topic

Vu qu'on a abordé le sujet de phpBB :
MàJ phpBB 2.0.16

 

[hedonism]

C’est quand même hallucinant que vous ne vous êtes pas encore rendus compte que ce gamin a eu son CAP en colportage de fausses nouvelles et tout ça uniquement pour créer les topics inutiles et foutre la pagaille. Et vous marchez dedans.
Tous les bulletins d’alertes de sécurité sont sur http://www.frsirt.com/ et la question de sécurisation de certains fichier et dossier de phpBB est vielle comme le forum lui-même.
Discutez ici du problème de référencement et problèmes liés à ce sujet, mais si vous voulez avoir les précisions sur les forums allez sur le site de support de … phpBB en anglais ou français c’est au choix et vous apprendrez l’existence de la MAJ de phpBB vers 2.0.16

 

[alfred99]

+1 avec hedonism,
Le titre est deja mal choisi et n'a été corrigé par personne. La faille supposée n'a pas été prouvée et en plus ca ne concerne pas tous les sites php, heureusement et je suis allé vérifier chez phpBB, on ne parle pas de ce problême. Ohax qui porte bien son nom veut faire parler de lui et monter ses sites en pr et en lien. Il poste pour n'importe quoi sans verifier ses sources ex : skyblog,phpBB. Il devrait lire avant d'écrire. Ca n'enleve rien à ses qualités, mais faut pas trop en faire quand même !

 

[hedonism]

Il s’est déjà fait virer de phpBB-fr et ça ne va peut être pas tarder ici
Hoax et Troll en plus

 

[Kounte]

C’est quand même hallucinant que vous ne vous êtes pas encore rendus compte que ce gamin a eu son CAP en colportage de fausses nouvelles et tout ça uniquement pour créer les topics inutiles et foutre la pagaille.

C'est pas vraiment inutile, si il participe à la pub collaborative de wri... :lol:

 

[hedonism]

... il participe à la pub collaborative de wri... :lol:

En effet, c’est la meilleure (et unique pour certains) raison de poster sur WRI

 

[tawath]

Il est aussi risible de renommer un fichier spécifique à une application spécifique pour une faille concernant le langage lui-même que de confier sa sécurité à un cryptage tiers proposé par les annonciateurs de la faille en question.

clair la securite releve du proprietaire du site uniquement

 

[Ysa]

On annonce la sortie de phpBB version 2.0.16 sans doute pour corriger cette faille
Source : http://www.frsirt.com/english/advisories/2005/0904

 

[yuston]

Mais cette supposée faille ne concerne pas que phpBB, mais TOUS les sites qui combinent php/mysql car c'est une faille dans php, dans le langage en lui même...

Donc ca ne sert a rien de sortir des patch correctif si php n'est pas lui même corrigé....