Como resolver a falha de segurança que o Ajaksu encontrou no XOOPS

  • Identifique-se para criar novos tópicos neste fórum
  • Visitantes anônimos não podem postar neste fórum
Celso Goya  Iniciante De: São Paulo - SP - Brasil  Postagens: 0

ajaksu escreveu:
E eis que esse lance de problemas me causa uma péssima surpresa.
Buscando "security vulnerability xoops" no google, encontrei uma: basta chamar /index.php?xoopsOption=any_word no diretório raiz do XOOPS para que o servidor mande um erro mostrando o caminho real do index.php

Até aí tudo bem, é uma vulnerabilidade pequena e tal. A má surpresa é que esse exploit não funciona no xoops.org, nem aqui no underpop, nem no phpserv que é de graça, mas na desgraça da minha hospedagem paga funciona que é uma beleza!

É assim, de grão em grão a hospedagem vai para o saco...

Para resolver esta falha de segurança do XOOPS é simples.
Adicione na primeira linha do index.php a seguinte linha:

Error_reporting(0);


Fiz o teste e funciona beleza@! isso resolve. Este erro ocorre apenas em servidores onde a opção de debug do PHP fica ativa. Isto pode ser configurado no arquivo php.ini, porém o XOOPS possui um debugger, que pode ser ativado no painel de controle e justamente esta opção que previne o problema é ativada apenas no arquivo common.php

// #################### Error reporting settings ##################
error_reporting(0);


Não encontrei uma boa razão para que está não seja a primeira linha de código e seja apenas ativada no common.php, porém se adicionarmos a linha citada anteriormente não haverá problema algum.

[]'s.
Celso Goya

Daniel  Participativo De: Brasília - DF - Brasil  Postagens: 129

Putz Oki, eu ainda estava pensando eu talvez um dia, uma hora, parar para pensar sobre a causa disso e você já foi, já voltou e ainda trouxe o patch de bandeja.
Desculpa a falta de fonte no post anterior, isso veio desta entrada no SecuriTeam.

Sinceramente, amanhã vou ligar para o suporte e falar para mudar o php.ini, nego desabilita phpinfo(), phpversion() (tive que hackear trocentas coisas que usavam essas funções) e me deixa debug ligado... é querer esconder falta de atualização e não se importar com segurança ou é só má vontade minha?

Celso Goya  Iniciante De: São Paulo - SP - Brasil  Postagens: 0

ajaksu,

Tem diversos provedores que deixam o debug ativo, em particular eu acho isso positivo principalmente enquanto estamos com o projeto em fase de testes, porém quando se entra em produção isso passa a ser negativo.

Acho que o erro neste caso, se é que podemos chamar de erro é no XOOPS, porque ele deveria desabilitar esta opção, ou então mostrar aquela página bacaninha de erro no XOOPS que nos leva para o Wikki. Até entendo que existem algumas implicações relacionadas à ordem de criação de objetos e tudo mais, mas ainda assim creio que é mais simples corrigir isso no XOOPS do que nos provedores.

Bom, acho que vale fazer uma recomendação lá no xoops.org, gostaria de pedir à você que tem o inglês afiado prá postar um comentário lá no xoops.org

E tem mais, resolver uma falha é fácil, o difícil é encontrar a falha, Hehe.

[]'s.
Celso Goya

Gilberto Galdino de Oliveira  Membro De: Guarulhos - São Paulo - Brasil  Postagens: 171

Oh papo está bom, gostoso, o peixe ganhou de novo, mas podemos fechar este tópico que vai para coleção de duvidas resolvidas certo ?

  Pesquisa avançada






Entrada

Codinome:


Senha:





Perdeu a senha?  |Cadastre-se!


Quem nos visita
Há 37 visitantes neste momento... (22 na seção Fóruns)

Associados: 0
Anônimos: 37

outros...

Banner XOOPS Cube