[ВАЖНО] Как избежать взлома на версиях phpBB до 3.3.17

Сообщение **rxu** » Сегодня 9:08

Как уже известно из новостей о выходе phpBB 3.3.17, все версии до указанной (вплоть до 3.1.0) подвержены уязвимости, связанной с возможностью простого обхода авторизации и входа с использованием только имени аккаунта (без пароля) любого пользователя. Включая администратора или модератора. Злоумышленники смогут произвести любые действия от имени такого пользователя, на которые у этого пользователя есть соответствующие права, за исключением входа в админраздел.
Уязвимость найдена с помощью ИИ.

Чтобы предотвратить данный сценарий до того, как появится возможность обновить конференцию, необходимо:

Отключить аутентификацию OAuth в админразделе (Главная страница админраздела - Средства связи - Аутентификация).

Отредактировать файл \config\default\container\services_auth.yml, удалив блоки

Код: Выделить всё

    auth.provider.apache:
        class: phpbb\auth\provider\apache
        arguments:
            - '@config'
            - '@dbal.conn'
            - '@language'
            - '@request'
            - '@user'
            - '%core.root_path%'
            - '%core.php_ext%'
        tags:
            - { name: auth.provider }

    auth.provider.ldap:
        class: phpbb\auth\provider\ldap
        arguments:
            - '@config'
            - '@dbal.conn'
            - '@language'
            - '@user'
        tags:
            - { name: auth.provider }

Удалить с сервера следующие файлы:
- /phpbb/auth/provider/apache.php
- /phpbb/auth/provider/ldap.php
Очистить кэш конференции.

Shredder · Сообщение **Shredder** » Сегодня 13:52

Так и знал, что этот ИИ чё-нибудь такое там обнаружит.

Сообщение **Nekstati** » Сегодня 15:24

Можно исправить без отключения функций и удаления файлов - так же, как оно исправлено в последней версии:

Код: Выделить всё

// открыть файл
includes\ucp\ucp_login_link.php
// найти строку
		$auth_provider = $provider_collection->get_provider($request->variable('auth_provider', ''));
// заменить на
		$auth_provider = $provider_collection->get_provider();

// открыть файл
phpbb\auth\provider\base.php
// найти функцию
	public function login_link_has_necessary_data(array $login_link_data)
	{
		return;
	}
// или найти (в более старых версиях)
	public function login_link_has_necessary_data($login_link_data)
	{
		return;
	}
// заменить на
	public function login_link_has_necessary_data(array $login_link_data)
	{
		return 'LOGIN_LINK_MISSING_DATA';
	}

southklad · Сообщение **southklad** » Сегодня 15:38

Одного из изменений от rxu, или Nekstati, достаточно, чтобы временно закрыть дыру? Сейчас обновляю один форум, а за ним второй.

southklad, любого достаточно
Вариант от rxu временно ломает часть oauth, от Nekstati - сохраняет всё в рабочем виде

phpBB Guru - Официальная русская поддержка форума phpBB

[ВАЖНО] Как избежать взлома на версиях phpBB до 3.3.17

[ВАЖНО] Как избежать взлома на версиях phpBB до 3.3.17

Re: [ВАЖНО] Как избежать взлома на версиях phpBB до 3.3.17

Re: [ВАЖНО] Как избежать взлома на версиях phpBB до 3.3.17

Re: [ВАЖНО] Как избежать взлома на версиях phpBB до 3.3.17

Re: [ВАЖНО] Как избежать взлома на версиях phpBB до 3.3.17