eXtreme Styles modu kullananlar tehlike altında

phpBB güvenliği.

eXtreme Styles modu kullananlar tehlike altında

İleti cnt 16.12.2006, 23:20

Az önce şu konu başlığını açtım, ama açığın kaynağından emin olmadığım için başlık yeterince uyarıcı olmadı.
http://www.canver.net/cache-klasorunden ... 13259.html
--------------------
Sorunu hostuma bildirmiştim ve yanıt geldi, sorunun kaynağı aşağıdaki iki dosya ile db ye ulaşıp, istenilen değişkliği yapıyorlar.

./cache/sql_1ae18ac04d5bfd40c8af659400b8a2b70.php: 'cat_title' => *******',
./cache/sql_1abaab27b36808a2e2eae79e3c0b7fea8.php: 'cat_title' => '*******',

yönetici arkadaşlar isterlerse dosya içeriklerini özelden yollarım. host şirketim cache klasorunun yazma izinlerini kapatmamı tavsiye ettiler.

Bunları kapatırsak mod çalışmıyacak, buna ilave olarak cached_generation mod da çalışmayacak.

Ne yapmalıyız?
cnt
Üye
Üye
 
İleti: 102
Kayıt: 31.10.2005, 16:27

İleti

ALEXIS
16.12.2006, 23:41

eXtreme Styles ile alakası yok, sql cache problemi, ancak CHMOD777 dahi olsa XSS açığı olmadan dışarıdan cache dizinine erişilemez.

Eğer cache modu "Cached Generation" modu ise CA'ya bildirmek işe yaramayabilir, elini kolunu çekti çünkü. DooBDee görüyorum yönetici olarak...
En son
ALEXIS
tarafından, 16.12.2006, 23:48 tarihinde değiştirildi, toplamda 1 değişiklik yapıldı.
Kullanıcı avatarı
ALEXIS
Site Yöneticisi
Site Yöneticisi
 
İleti: 2563
Kayıt: 30.06.2005, 09:08

Cvp: eXtreme Styles modu kullananlar tehlike altında

İleti cnt 16.12.2006, 23:47

evet şimdi Cached generation modu inceledim, sql_ şeklinde başlayanların çalışmasına o mod izin veriyormuş.

XSS açığı konusunda benim yapabileceğim bir şey varmı, tam olarak ne olduğunu bilmiyorum.
Az buçuk bi iki kelime söylersen, çevirip server aldğım yere ticket açabilirim.


ALEXIS şimdi ben Cached generation modu kaldırsam risk devam edermi?

teşekkürler.
cnt
Üye
Üye
 
İleti: 102
Kayıt: 31.10.2005, 16:27

İleti

ALEXIS
16.12.2006, 23:56

Herhangi bir dosyadan modlardan oluşabilecek açık olabilir, özellikle cache kullanan modlarda, sql cache'i kaldırman işe yaramayabilir...

sorunu tespit edene kadar en hızlı çözüm:

cd cache
rm *.*
chmod 755 /cache
Kullanıcı avatarı
ALEXIS
Site Yöneticisi
Site Yöneticisi
 
İleti: 2563
Kayıt: 30.06.2005, 09:08

Cvp: eXtreme Styles modu kullananlar tehlike altında

İleti cnt 17.12.2006, 00:57

cache kullanan Cached generation ve extreme styles var.

dediğin gibi cache içini boşaltıp, yazma izinlerini kapatınca forumun çalışması esnasında yazamadığı için hata verip duruyordu.

Cached generation modu kaldırdım, extreme styles modu da panelden disable ettim.

--------
şu XSS açığı hakkında benim yapabileceğim bir şey varmı yoksa root yetkisi ile mi yapılır.
Daha öncede avatar dizinine yada chmod 777 olan başka dizinlerime index atmışlardı.
cnt
Üye
Üye
 
İleti: 102
Kayıt: 31.10.2005, 16:27

Re: eXtreme Styles modu kullananlar tehlike altında

İleti EFE03 18.01.2008, 07:17

sanırım cache klasörünün içinde htacases dosyası olması ile sorun yaratmaz

birde tracker 5.0.4 olunca sorun yaratır mı?
EFE03
Üye
Üye
 
İleti: 302
Kayıt: 09.06.2006, 07:37

Re: eXtreme Styles modu kullananlar tehlike altında

İleti EFE03 13.03.2008, 13:50

yazdıgımda cache olarak soyle uyarı veriyor


Bu sayfayı görme yetkiniz yok
Verdiğiniz kimlik bilgilerini kullanarak bu dizin ya da sayfayı görme izniniz olmayabilir.

--------------------------------------------------------------------------------

Bu dizin veya sayfayı görüntüleyebilmeniz gerektiğine inanıyorsanız, lütfen varsa paylasim-forum.com giriş sayfasında listelenen herhangi bir e-posta adresi veya telefon numarasını kullanarak Web sitesine başvurmayı deneyin.

Internet'te bilgi aramak için Ara'yı tıklatabilirsiniz.




HTTP Hatası 403 - Yasak
Internet Explorer




sorun yaratırmı
EFE03
Üye
Üye
 
İleti: 302
Kayıt: 09.06.2006, 07:37


Güvenlik



Kimler çevrimiçi

Bu forumu görüntüleyenler: Kayıtlı kullanıcı yok ve 0 misafir

cron