Milka dnia 26 grudnia 2008 12:57 · 3 komentarze · 13670 czytań ·  ·  · 

Dev Team zaci?cie pracowa? nad ?atk? bezpiecze?stwa dla pliku submit.php, do którego wczoraj ujawniono exploit. W ko?cu uda?o im si? osi?gn?? upragniony cel - ?atka zosta?a wydana. Luk? poprawiono zarówno dla PHP-Fusion v7, jak i v6.

Paczki zawieraj?ce aktualizacj? zosta?y umieszczone w Laboratorium Modu?ów.

Aktualizacja do PHP-Fusion 7.00.3 - tylko dla v7.00.2 (4,4 KB)
Aktualizacja do PHP-Fusion 6.01.17 - tylko dla v6.01.16 (3,9 KB)

Grzes dnia 25 grudnia 2008 16:33 · 5 komentarzy · 14475 czytań ·  ·  · 

Ujawniono exploit dla PHP-Fusion 7.00.2. Dotyczy on pliku submit.php. Tymczasowo zalecamy jego usuni?cie b?d? zmian? nazwy.

Aktualnie Dev Team pracuje nad stworzeniem i jak najszybszym dostarczeniem ?atki.

Wooya dnia 23 grudnia 2008 10:15 · 3 komentarze · 12038 czytań ·  ·  · 

Sheldon: Czujemy si? zobowi?zani wyt?umaczy? szerzej naszej spo?eczno?ci, co dzia?o si? w przeci?gu ostatnich kilku dni. Jak zapewne zauwa?yli?cie, strona G?ównego Supportu by?a zawieszona, w zamian pokazane by?o logo Forge Hosting, naszego providera. Zosta?o to uczynione na pro?b? PHP-Fusion Management Team (MT) z powodu w?amania na nasz Support przez administratora jednego z by?ych narodowych supportów (?adne imiona i/lub nicki nie zostan? wymienione). Osoby, którym uda?o si? w?ama?, mia?y nadziej? upokorzy? inny by?y narodowy support. Oba by?e supporty pochodz? z tego samego pa?stwa i s? w stanie ci?g?ej walki oraz próbuj? utrudni? prawid?owe funkcjonowanie ca?ej naszej spo?eczno?ci.

Jeszcze nie uda?o si? nam ustali?, w jaki sposób atak zosta? przeprowadzony i czy by?a wykorzystana jaka? luka w PHP-Fusion, czy te? s? to pozosta?o?ci po ostatnich atakach. MT jest nastawione, by udost?pnia? solidny produkt i wsparcie dla naszej spo?eczno?ci, wi?c je?eli zostanie odnaleziona jaka? luka, zostanie ona natychmiastowo usuni?ta. Jakakolwiek pomoc lub informacja na temat owych ataków i bie??cej sytuacji mo?e by? przekazana MT poprzez skontaktowanie si? z któr?kolwiek osob? z MT.

Z uk?onami w stron? by?ego supportu, który wojuje z PHP-Fusion MT, nie chcemy mie? z tym nic wspólnego, nie b?dziemy w tej walce wspiera? ?adnej ze stron, ani nikogo dyskredytowa?, a ?adna ze stron nie ma szans na otrzymanie statusu Oficjalnego Supportu. Uwa?amy, ?e narodowe supporty, których administratorzy s? niedojrzali lub nieprofesjonalni, nie s? mile widziane w naszej spo?eczno?ci.

Aktualizacja: Ostatnia fala ataków spamu, to dowód niedojrza?o?ci tych osób. PHP-Fusion MT nie podda si? takim próbom.

Pozdrawiamy

PHP-Fusion Management Team

Digitanium, KEFF, Sheldon, janmol, muscapaul, kneekoo, Matonor i Yxos

Wooya dnia 22 grudnia 2008 21:57 · 1 komentarz · 13290 czytań ·  ·  · 

Sheldon i muscapaul: Zdarzy?o si? kilka dni temu, ?e nieupowa?niona osoba dosta?a si? do naszej strony z uprawnieniami G?ównego Admina poprzez konto administracyjne z ustawionym s?abym has?em. Linki do plików instalacyjnych PHP-Fusion w wersjach 7.00.2 i 6.01.16 zosta?y podmienione na odno?niki do plików zamieszczonych na Sendspace, które by?y spakowane w formacie RAR.

Obydwie paczki zawieraj? zmodyfikowane pliki maincore.php i ../includes/jscript.js. Je?eli pobrali?cie któr?kolwiek z tych paczek i u?yli?cie do utworzenia nowej strony lub jej aktualizacji, prosimy o pobranie tych paczek ponownie, z oficjalnych ?róde? i podmienienie wszystkich swoich plików. Jest wskazane, aby na ten czas prze??czy? swoj? stron? w tryb serwisowy. B?d?cie ostro?ni przy usuwaniu ju? wgranych grafik (awatary, albumy fotografii) lub za??czników na forum. Przy okazji sprawd?cie foldery uploadu, czy nie zawieraj? podejrzanych plików z rozszerzeniem PHP lub z podwójnym rozszerzeniem (np.: .php.rar, .phtml.rar). Je?eli nie jeste?cie pewni, ?e pobrali?cie w?a?ciw? paczk?, podmie?cie swoje pliki na serwerze na kopie wcze?niej pobranych wersji. Nie ma potrzeby, aby reinstalowa? Wasze strony, ale zalecamy, aby zmieni? wszystkie has?a dost?powe i administracyjne, jako dodatkowe zabezpieczenie.

Prosimy o zwrócenie uwagi, ?e oficjalne paczki PHP-Fusion nie s? rozpowszechniane inna drog? ni? poprzez SourceForge, lub poprzez oficjalny serwer. Jakakolwiek paczka z PHP-Fusion zawsze b?dzie pojawia? si? w formacie ZIP.

Milka dnia 02 grudnia 2008 15:00 · 12 komentarze · 18966 czytań ·  ·  · 

W imieniu w?asnym, jak i ca?ej administracji, pragn? poinformowa?, i? dotar?o do mnie 7 wniosków, jednak?e tylko 3 zg?oszenia zosta?y rozpatrzone pozytywnie. Jeden z nich w trybie natychmiastowym - mowa tu oczywi?cie o naszym piterusie. Zapewne zastanawiacie si? kim s? pozosta?e dwie osoby, ale o tym za chwil?.
W pierwszej kolejno?ci chcia?abym Was poinformowa?, ?e celem tej akcji by?o wy?onienie spo?ród Was u?ytkowników, którzy chcieliby pomaga? w moderowaniu naszego forum. Nie spodziewali?my si? du?ego odzewu - no i si? nie pomylili?my. My?limy, ?e to powinno da? Wam do my?lenia, poniewa? praca moderatora, to naprawd? nie jest taki lekki kawa?ek chleba. Doce?cie to, co dla Was robimy i nie narzekajcie, ?e nie odpowiadamy w tematach - nasza doba ma tylko 24 godziny (wbrew pozorom).
Wracaj?c do moderatorów, którzy przyj?ci zostali na okres próbny... S? nimi dwaj panowie: khaman i hoopak. Serdecznie gratulujemy awansu i ?yczymy du?o wytrwa?o?ci.

Administracja Polskiego Oficjalnego Supportu PHP-Fusion

Wooya dnia 25 listopada 2008 09:32 · 3 komentarze · 11727 czytań ·  ·  · 

Sheldon: Z powodu wykrytych prób w?amania na oficjaln? stron? ze skórkami (http://themes.php-fusion.co.uk), zostaje ona zamkni?ta, do czasu zako?czenia dochodzenia na t? okoliczno??. Dzi?kujemy za zrozumienie.
Aby wszystkich uspokoi?, informujemy, ?e powodem chwilowego zamkni?cia nie jest jaka? dziura w PHP-Fusion, ale pozosta?o?ci po ostatnich atakach, które ca?y czas analizujemy i ?ledzimy. Z mojej analizy wynika, ?e po ostatnich próbach zosta?o kilka niebezpiecznych plików, które przeoczyli?my podczas przegl?dania zawarto?ci serwera.

Aktualizacja: Oficjalna strona skórek jest ju? otwarta!

jantom dnia 22 listopada 2008 02:30 · 0 komentarzy · 11503 czytań ·  ·  · 

PMM: Dla tych, którzy jeszcze nie zaktualizowali si? do v7, udost?pniona jest poprawka dla v6.01.15. Jak zwykle - je?li korzystacie z wcze?niejszej wersji z serii 6.01, musicie zainstalowa? poprzednie aktualizacje. Jednak?e, pami?tajcie, ?e ta aktualizacja jest tylko dla v6.

Aktualizacja do PHP-Fusion 6.01.16 - tylko dla v6.01.15

Pieka dnia 22 listopada 2008 00:01 · 5 komentarzy · 11532 czytań ·  ·  · 

Z przyjemno?ci? pragniemy poinformowa?, ?e wcze?niej wykryta i zg?oszona luka w pliku messages.php zosta?a za?atana. Przy okazji poprawiono równie? plik search.php, który wymaga? drobnych poprawek w zakresie bezpiecze?stwa.

?atki dla v6 spodziewajcie si? niebawem.

SVN i pe?ne paczki równie? zosta?y zaktualizowane.

PHP-Fusion 7.00.2 Update - tylko dla 7.00.1 (10,2 KB)

Wooya dnia 21 listopada 2008 09:48 · 4 komentarze · 11337 czytań ·  ·  · 

muscapaul: W dniu dzisiejszym zg?oszono luk? w messages.php, g?ównym pliku systemu PW. Zosta?o to ju? zauwa?one przez developerów i ?atka zostanie wypuszczona najszybciej jak to b?dzie mo?liwe. Je?eli chcesz mie? pewno??, ?e Twoja strona nie zostanie zaatakowana, usu? plik messages.php do czasu opublikowania ?atki bezpiecze?stwa. W zwi?zku z tym, ?e nie ma pewno?ci odno?nie wersji, poleca si? zablokowanie w/w pliku równie? w v6.

Nowa luka zosta?a potwierdzona przez millw0rm.

Odwiedzaj nasz? stron? regularnie lub skorzystaj z kana?u RSS w oczekiwaniu na poprawki.

UWAGA: System PW zosta? tymczasowo wy??czony na Oficjalnym Supporcie.