Krytyczna łatka - aktualizacja do v6.00.303 !!
Pieka dnia 11 stycznia 2006 22:15 · 8 komentarzy · 6178 czytań ·
W następstwie ostatnich ataków, ucierpiało wiele stron postawionych na PHP-Fusion. Digitanium, dzęki Jangusowi (użytkownik głównego supportu PHP-Fusion) odkrył, że było możliwe wykradzenie cookie admina poprzez upload awatarów ze spreparowanymi nazwami plików. Na głownej stronie PHP-Fusion odkryto kilka tak spreparowanych awatarów. Awatary takie nie mogą być usuwane przez ftp.
Wszyscy administratorzy są zobowiązani do sprawdzenia katalogu: images/avatars w celu sprawdzenia, czy nie ma tam dziwnych nazw plików. Jeśli są takie, należy skontaktować się z obsługą serwera z prośbą o usunięcie zainfekowanych plików z konta.
Żeby zwalczyć ten exploit, zaktualizowano pliki: includes/update_profile_include.php oraz administration/updateuser.php Powiniście również zmienić swoje hasła w profilu.
Użytkownicy posiadający PHP-Fusion w wersjach 6.00.301 oraz 302 powinni zaktualizować swoje strony do wersji 6.00.303.
Pobierz aktualizację do v6.00.303
Użytkownicy posiadający PHP-Fusion w wersjach 6.00.2xx powinni pobrać:
Aktualizacja z v6.00.2xx do PHP-Fusion v 6.00.303
Pozostali użytkownicy powinni pobrać najnowszą pełną wersję PHP-Fusion v 6.00.303
Pobierz pełną wersję PHP-Fusion v 6.00.303
Tłumaczenie i opracowanie newsa: zszywak.