Добро пожаловать, Гость
Слухи об уязвимости конфигурационных файлов Kooboo
Ella Offline
#1 Оставлено : 13 октября 2014 г. 9:51:55(UTC)

Ранг: Advanced Member

Группы: Registered, Тестеры
Зарегистрирован: 07.05.2012(UTC)
Сообщений: 241
Откуда: Россия

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 67 раз в 61 постах
Один из пользователей на офф форуме сказал, что некий хакер сообщил ему, что из-за уязвимости ядра Kooboo он смог получить доступ к XML-данным его конфигурационных файлов, в частности сведения о подключении к БД (SQLServer.config из директории BIN). Путь, каким он получил эти данные, он не рассказал.

Источники:
первый
второй

Хотя на оф.форуме данное сообщение игнорируется, меня это все равно тревожит.
Не понимаю как можно получить config файл? Он защищен на уровне IIS. Если только сам Kooboo где-то не делает случайно открытый репост этих данных во вне...
Ella Offline
#2 Оставлено : 13 октября 2014 г. 18:31:14(UTC)

Ранг: Advanced Member

Группы: Registered, Тестеры
Зарегистрирован: 07.05.2012(UTC)
Сообщений: 241
Откуда: Россия

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 67 раз в 61 постах
Связалась с разработчиками (Jifeng). Вот его ответ:
Цитата:

The .config or /bin path request must be denied from the IIS.
I have contacted meodemsao for more detail.
The most possible is the front site allow people to update files, but do not restrict the file type.
When hacker upload asp/aspx/php file, then he will able to control the server files.
I will track the issue. Thanks!
Best regards,
Jifeng Huang
Ella Offline
#3 Оставлено : 21 октября 2014 г. 14:19:41(UTC)

Ранг: Advanced Member

Группы: Registered, Тестеры
Зарегистрирован: 07.05.2012(UTC)
Сообщений: 241
Откуда: Россия

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 67 раз в 61 постах
Слухи оказались совсем не слухами, а довольно серьезной уязвимостью в ядре системы. Рекомендуется срочно ее "пофиксить" - http://kooboo-cms.ru/new...tail/file-vulnerability/
Лента RSS  Лента Atom
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.