[ВАЖНО] Как избежать взлома на версиях phpBB до 3.3.17

Сообщение **rxu** » Вчера 9:08

Как уже известно из новостей о выходе phpBB 3.3.17, все версии до указанной (вплоть до 3.1.0) подвержены уязвимости, связанной с возможностью простого обхода авторизации и входа с использованием только имени аккаунта (без пароля) любого пользователя. Включая администратора или модератора. Злоумышленники смогут произвести любые действия от имени такого пользователя, на которые у этого пользователя есть соответствующие права, за исключением входа в админраздел.
Уязвимость найдена с помощью ИИ.

Чтобы предотвратить данный сценарий до того, как появится возможность обновить конференцию, необходимо:

Способ 1:

Переключить аутентификацию на Db в админразделе (Главная страница админраздела - Средства связи - Аутентификация).

Отредактировать файл \config\default\container\services_auth.yml, удалив блоки

Код: Выделить всё

    auth.provider.apache:
        class: phpbb\auth\provider\apache
        arguments:
            - '@config'
            - '@dbal.conn'
            - '@language'
            - '@request'
            - '@user'
            - '%core.root_path%'
            - '%core.php_ext%'
        tags:
            - { name: auth.provider }

    auth.provider.ldap:
        class: phpbb\auth\provider\ldap
        arguments:
            - '@config'
            - '@dbal.conn'
            - '@language'
            - '@user'
        tags:
            - { name: auth.provider }

Удалить с сервера следующие файлы:
- /phpbb/auth/provider/apache.php
- /phpbb/auth/provider/ldap.php
Очистить кэш конференции.

Способ 2:

Без переключения метода аутентификации и удаления файлов: Re: [ВАЖНО] Как избежать взлома на версиях phpBB до 3.3.17

ВНИМАНИЕ:
Есть сообщения о том, что в некоторых случаях атакующие добавляли новые аккаунты в группы с повышенными привилегиями, например, в группы администраторов, супермодераторов, модераторов.
В этом случае, даже с учетом применения патча выше или обновления до 3.3.17, злоумышленники могут и дальше наносить вред, используя такие аккаунты.
Поэтому имеет смысл проверить, не появились ли неавторизованные учетные записи в группах пользователей с повышенными привилегиями.

Форумъ, после закрытия-открытия браузера ещё запросит

Форумъ · Сообщение **Форумъ** » Сегодня 16:19

Татьяна5, а, понял, спасибо. А модераторский раздел тоже, наверное, стоит защитить аналогичным способом или не париться?

Форумъ, вам видней

Сообщение **rxu** » Сегодня 16:48

Форумъ писал(а): Сегодня 16:19 модераторский раздел тоже

Подумайте, как модераторы будут заходить в модераторский раздел.

Форумъ · Сообщение **Форумъ** » Сегодня 16:51

rxu, да вот я тоже подумал ...

Michel · Сообщение **Michel** » 1 минуту назад

rxu писал(а): Сегодня 9:30 Есть сообщения о том, что в некоторых случаях атакующие добавляли новые аккаунты в группы с повышенными привилегиями, например, в группы администраторов, супермодераторов, модераторов.
В этом случае, даже с учетом применения патча выше или обновления до 3.3.17, злоумышленники могут и дальше наносить вред, используя такие аккаунты.
Поэтому имеет смысл проверить, не появились ли неавторизованные учетные записи в группах пользователей с повышенными привилегиями.

То есть обновление до 3.3.17 не гарантирует защиту? Или это уже про взломанные форумы идёт речь?