OpenForum RSS: В поставке открытого форума MyBB обнаружен вредоносный код https://www.opennet.dev/openforum/vsluhforumID3/80988.html В начале октября разработчики открытого форума MyBB (http://www.mybb.com) опубликовали уведомление (http://blog.mybb.com/2011/10/06/1-6-4-security-vulnerabilit/) о наличии критической уязвимости в последней версии MyBB 1.6.4, выпущенной три месяца назад. Сегодня опубликованы (http://blog.mybb.com/2011/10/25/some-closure-on-the-1-6-4-security-vulnerability/) подробности, указывающие на то, что уязвимость, позволяющая выполнить произвольный код PHP, была внесена злоумышленниками путем подмены архива с релизом форума на сервере загрузки. <br><br><br>По словам разработчиков злоумышленники проникли в систему через неизвестную уязвимость в движке сайта, разработанном своими силами, но основанном на использовании сторонних открытых фреймворков. Разработчики считают, что проблема безопасности присутствует не в коде их CMS, который не распространяется публично, а в используемых внешних фреймворках. Подробности совершения взлома и время подмены архива неизвестны, поэтому разработчики рекомендуют срочно...<br><br>URL: http://blog.my В поставке открытого форума MyBB обнаружен вредоносный код (arisu) https://www.opennet.dev/openforum/vsluhforumID3/80988.html#62 Mon, 31 Oct 2011 07:19:20 GMT &gt; Альтернатива?<br><br>чему?<br> В поставке открытого форума MyBB обнаружен вредоносный код (sh) https://www.opennet.dev/openforum/vsluhforumID3/80988.html#61 Mon, 31 Oct 2011 04:10:38 GMT Альтернатива?<br> В поставке открытого форума MyBB обнаружен вредоносный код (arisu) https://www.opennet.dev/openforum/vsluhforumID3/80988.html#60 Sun, 30 Oct 2011 08:38:09 GMT &gt; ога, ога &#8212; &#171;мы не знаем где дыра, но уж точно не у нас!&#187;.<br><br>&#8230;"ведь мы умеем круто использовать eval!"<br> В поставке открытого форума MyBB обнаружен вредоносный код (arisu) https://www.opennet.dev/openforum/vsluhforumID3/80988.html#59 Sun, 30 Oct 2011 08:37:19 GMT &gt; Эти люди не слышали про OpenPGP/GnuPG?<br><br>тебе eval в коде ни на что не намекает?<br> В поставке открытого форума MyBB обнаружен вредоносный код (arisu) https://www.opennet.dev/openforum/vsluhforumID3/80988.html#58 Sun, 30 Oct 2011 08:36:38 GMT &gt; Весь source-based живёт на тарболах, потому что<br><br>&#8230;кульхацкеры-сборщики-из-исходников cannot into VCS.<br> В поставке открытого форума MyBB обнаружен вредоносный код (arisu) https://www.opennet.dev/openforum/vsluhforumID3/80988.html#57 Sun, 30 Oct 2011 08:34:43 GMT &gt; Забавно смотрятся доморощенные репозитарии, для &#171;надежной&#187; установки из которых требуется <br>&gt; предварительно скачать от-туда же и ключик.<br><br>поэтому не надо его там хранить, вот и всё.<br><br>а в принципе &#8212; ничему не доверяй. ведь ничто не мешает хаксору упереть ключик прямо с машины девелопера.<br> В поставке открытого форума MyBB обнаружен вредоносный код (arisu) https://www.opennet.dev/openforum/vsluhforumID3/80988.html#56 Sun, 30 Oct 2011 08:32:13 GMT &gt; Достали вы со своими шнайдерами. Нет, чтобы внятно ответить человеку.<br><br>&#171;достали вы своей физикой! нет, чтобы внятно ответить человеку, что трамвай ездит так: 'бжжжж-звяк-звяк!'&#187;<br> В поставке открытого форума MyBB обнаружен вредоносный код (arisu) https://www.opennet.dev/openforum/vsluhforumID3/80988.html#55 Sun, 30 Oct 2011 08:30:38 GMT eval. уносите, пациент неоперабелен.<br> В поставке открытого форума MyBB обнаружен вредоносный код (Аноним) https://www.opennet.dev/openforum/vsluhforumID3/80988.html#52 Wed, 26 Oct 2011 19:11:53 GMT Я один не понял, на зачем вообще там eval?<br>