hoopak dnia 30 maja 2011 16:52 · 5 komentarzy · 7085 czytań ·

Devteam: Ostatnie wydarzenia u?wiadomi?y nam istnienie luki znajduj?cej si? w panelu administracyjnym PHP-Fusion v7.02.xx. W pewnych sytuacjach luka ta mo?e umo?liwi? hakerowi dost?p do tych kont, które mia?y odnawiane has?a administratora strony za pomoc? panelu administracyjnego.

Dotyczy wersji PHP-Fusion: Wszystkie wersje PHP-Fusion v7.02.xx.

Szczegó?y dotycz?ce luki:
Luka jest spowodowana niew?a?ciw? implementacj? klasy PasswordAuth (/includes/classes/ PasswordAuth.class.php), która obs?uguje has?a administratorów oraz has?a wszystkich u?ytkowników w PHP-Fusion. W wyniku tego b??du 1 na 10 u?ytkowników z odnowionym has?em b?dzie mia? zapisane puste has?o logowania, co umo?liwi hakerowi dost?p do konta  za pomoc? losowego has?a.

Nasze zalecenia:
Do wydania PHP-Fusion v7.02.03 odradzamy korzystania ze strony odnowienia has?a administratora. Luka nie jest mo?liwa do wykorzystania bez wcze?niejszego u?ycia odnowienia has?a administratora. Je?li korzysta?e? z tej funkcji zalecamy r?czn? zmian? has?a.

Wi?cej informacji dost?pnych b?dzie na stronie DevTeamu. W tym czasie mo?esz wysy?a? pytania bezpo?rednio do Hansa Kristiana Flaattena - lidera Development Team’u.