ugrás a tartalomhoz

Komoly XML-RPC hibák számos PHP alkalmazásban

Hojtsy Gábor · 2005. Jún. 29. (Sze), 21.25
Délután küldte be Török Gábor szerkesztőtársunk azt a blogmarkot, mely jelzi, hogy az XML-RPC for PHP 1.1 sebezhetősége miatt több PHP alkalmazás is sérülékeny. Ezek között van a Drupal, a PostNuke, a Xoops, a Serendipity, a TikiWiki, a WordPress, és még számos közismert alkalmazás, többek között a PEAR XML-RPC-re épülő megoldások is. Az eredetileg Edd Dumbill által a Useful Information Company számára fejlesztett XML-RPC függvényeket, illetve azok módosításait ugyanis igen széles körben használják.

Első lépésként érdemes az általunk használt PHP alkalmazásokban ellenőrizni az XML-RPC támogatást, és kikapcsolni, amennyiben jelét tapasztaljuk, hogy erre a függvénykészletre épülne. Ezután pedig érdemes ellenőrizni, hogy elérhető-e valamilyen jobb megoldás.

Néhány szállító már kiadott javításokat, így megjelent a WordPress új kiadása, a Serendipity új verziója, míg a PostNuke fejlesztők egyelőre csak annyit ajánlanak, hogy kapcsoljuk ki a funkciót. A Drupal fejlesztői ezen hír írása közben készítik elő a biztonsági frissítésről szóló bejelentést.
 
1

PEAR::XML_RPC

Mocsnik Norbert · 2005. Jún. 29. (Sze), 23.22
A PEAR XML_RPC csomagjához már letölthető a javítás. A frissítéshez legegyszerűbb a pear upgrade XML_RPC parancs használata parancssorból.
2

Drupal javítás elérhető

Hojtsy Gábor · 2005. Jún. 29. (Sze), 23.28
A Drupal javítás már elérhető, ráadásul egy másik komoly hibát is korrigál a rendszeren.
3

Hardened PHP

Hojtsy Gábor · 2005. Jún. 29. (Sze), 23.43
A Hardened PHP biztonsági fórumában is lehet követni, hogy kik adtak ki már javítást.
4

WordPress SQL Injection and Cross Site Scripting Vulnerabilities

Török Gábor · 2005. Jún. 30. (Cs), 14.52
A WordPress 1.5.1.3 egy másik komoly biztonsági hibára is védelmet nyújt:
http://www.frsirt.com/english/advisories/2005/0925

--
slink
http://20y.hu/
5

Xoops SQL Injection and Cross Site Scripting Vulnerabilities

Török Gábor · 2005. Jún. 30. (Cs), 14.58
Hasonló sebezhetőség a Xoops-ban is:
http://www.frsirt.com/english/advisories/2005/0924

--
slink
http://20y.hu/
6

phpAdsNew 2.0.5

Török Gábor · 2005. Júl. 1. (P), 14.20
A népszerű banneradmin is sebezhető, a javítás már a 2.0.5-ös verzió formájában beszerezhető. Újdonságként támogatja már az átlátszó Flash reklámokat.

--
slink
http://20y.hu/