A phpBB évtizedes azonosítási kiskapuját végre bezárták

Azonnali intézkedések szükségesek

Nem hagyható figyelmen kívül, hogy a feltárt hiba olyan régi, hogy a legtöbb aktív phpBB-fórum is veszélyben van, hiszen a fórumok jelentős része alapértelmezett beállításokat használ. A biztonsági rést június 2-án fedezte fel az Aikido biztonsági kutatócsapata, és villámgyorsan jelentették a fejlesztőknek, akik négy nap alatt orvosolták a problémát a 3.3.17-es verzióban. Fontos, hogy mindenki frissítsen: a 3.3.16-nál korábbi verziót használóknak 3.3.17-re kell frissíteniük, a 4.x ágnál pedig egyelőre nincs teljesen biztonságos kiadás.

Milyen veszélyek leselkednek a fórumokra?

Ha egy támadó bejut rendszergazdai jogkörrel, minden privát üzenetet elolvashat, tartalmakat és felhasználói fiókokat módosíthat vagy törölhet, akár a teljes fórumot is megszüntetheti. Mivel a taglista alapértelmezés szerint nyilvános, a célpontok kiválasztása gyerekjáték. Szerencsére a fórummotor külön jelszóellenőrzéssel védi az adminisztrációs felületet, így távoli kódfuttatás közvetlenül nem lehetséges.

Mi lesz az OAuth-alapú beléptetéssel?

Érintett fórumok esetén egyetlen változás okozhat fennakadást: az OAuth-átirányítás helye mostantól megváltozott, ezért a kapcsolódó fórumokban módosítani kell a beállításokat. Ez a legtöbb esetben gyorsan javítható.

Mire számíthatunk a jövőben?

Az Aikido egyelőre visszatartja a technikai részleteket, hogy mindenkinek legyen ideje frissíteni, és kifejezetten figyelmeztették a nagyobb fórumok adminisztrátorait is. A biztonsági rés pontos leírását majd csak később hozzák nyilvánosságra.

2026, adrienne, www.bleepingcomputer.com alapján