Bug en yabbse 1.5.5??

[darksteel]

Versión de YaBB SE: 1.5.5

Descripción del Problema:
  EN mi foro  aparecio un post de un tipo LordSteve ( mundocracke.net ) esa gente o tiene envidia al parecer,

la cuestion es que  en mi foro apareecio un {os que el contenido eran

Los nombres de admines, moderadores y otros rangos, y sus passworld en MD5, yo verifique la base de datos aver si los pass eran los mismo aver si era ellos molestando pero eran los mismos esto pone en riesgo mi foro, no se si sea un bug del yabbse o del server, pero lo que sea e smucho riesgo me asusto mucho, yo banne la ipo, el mail, puse modo d emantenimiento mi foro y saque bases de datos de todos los hosting y la mia, alguien ke me exlik3

salu2

[Omar Bazavilvazo]

esta raro... en 1.5.5 cambió y no hay security issues conocidos.

te recomiendo que cambies los passwordds de todos los admins y moderadores. probablemente esda info la sacaron cuando todavía tenias yse 1.5.4

avisanos como te va...

[el-brujo]

http://seclists.org/lists/bugtraq/2004/Feb/0440.html

[Omar Bazavilvazo]

Si...

http://seclists.org/lists/bugtraq/2004/Feb/0440.html

está en 1.5.5... no había tenido respuesta de los devs (aparte de mí) respecto al post que muy amablemente el-brujo me mandó el 26 de enero.

Pido disculpas públicas a el-brujo, por no haber contestado su mensaje antes, pero he estado MUY ocupado en mi vida personal, y he tenido varios problemas laborales. Esto no justifica que no le haya contestado, pero espero que vean el porqué no lo hice.

La solución recomendada es:
En Post.php buscar:

Code Select Expand


$quotemsg = $quote;


reemplazar por:

Code Select Expand


$quotemsg = empty($quote) ? '' : (int) $quote;


...

es probable que salga yun patch, 1.5.5b, con esta modificación

Saludos,
Omar

[darksteel]

eso pase hace un dia atras, yo actualize yabbse 1.5.4 va tiempo y rapido ek salio no creo ke sea eso :S solo sacaron todos los pass !!
y eos me preocupa
Salu2

[Misionero]

eso pase hace un dia atras, yo actualize yabbse 1.5.4 va tiempo y rapido ek salio no creo ke sea eso :S solo sacaron todos los pass !!
y eos me preocupa
Salu2

es lo que hace el bug! saca los hasshes de los pass...

y no tiene dos dias ese bug...

tiene mas de un mes, lo único que era 0days.... asi que parchea y cambia passwords... and finish...

[Omar Bazavilvazo]

con los hash de md5 de los password NO se pueden ver los passwds originales

md5 es un algoritmo de solo 1 vuelta, no se puede llegar al original.

como mencioné, apliquen el cambio de mi ultimo post.
a lo que ya les mostraron los md5, cambien el password de esos para evitar cualquier posible problema.

el cambio de $quote, que mencionaron (y puse en el ultimo post) DEBE aplicarse a 1.5.5 TAMBIEN.

en la semana (espero) haya un post oficial.

[darksteel]

Ya todo esta echo  parchee, y deje un post de ke kambien sus password ya yocambie el mio

Salu2

[Omar Bazavilvazo]

Hay que continuar aqui: (post nuevo)

http://www.yabbse.org/community/index.php?thread=27569