Skocz do zawartości
Zoel

WHMCS 5.2.7 exploit - aktualizujcie

Polecane posty

Wczoraj o 23:10 dostałem maila i puściłem aktualizacje w nocy - po ostatniej wpadce solusvm człowiek dmucha na zimne ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Aktualizacja to podstawa działania na tego typu oprogramowaniach, jednak jak pisze przedmówca dobry WAF gdy jest odpowednio wdrożony daje dodatkowy czas na aktualizację soft'u

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pomaga, tyle że w kwestii samego nginxa. Od skryptu zależy z jakiej dziury korzysta exploit i niekoniecznie naxsi może tutaj coś pomóc, jeśli skrypt jest dziurawy.

 

Ale z racji, że security polega na dokładaniu kolejnych warstw "ochrony" to szczerze polecam.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

Thank you for bring this up and we have confirmed this is legitimate. Currently we are working towards a resolution and are just waiting for the testing to complete. We have published a post on this here http://blog.whmcs.com/?t=80206 I would recommend keeping an active eye on http://blog.whmcs.com/ as we will push more information to this as we get it including patch information. Furthermore, I will update this ticket once I have more information to relay. Again thank you so much for your cooperation, patience and understanding in this time for us!

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzisiaj wydali 2 łatki - najpierw z 5.2.10 do 5.2.11 i za 3-4 godziny do 5.2.12.

 

Odnośnie dziury opisanej na localhost.re to kilka godzin po opublikowaniu kazali poprostu wyłączyć masowe opłacanie faktur do czasu wydania łatki.

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hej...

Panowie i Panie może obstawiamy ile będzie aktualizacji do końca miesiąca? 3-4?

Jak tak dalej pójdzie to WHMCSa za darmo nikt nie będzie chciał...

Edytowano przez mikorol (zobacz historię edycji)
  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@Irek, ale taki błąd:

 

 

I decided to give WHMCS a chance to patch this. The first part of this vulnerability:

  • Login as a client.
  • Start your quest at /clientarea.php?action=masspay&invoiceids[]=1&invoiceids[]=2

This will allow you to access any invoice, even if you don't own it.

If you've got what it takes, you'll find out how to exploit this further and get some real database access.hint: geninvoice

 

to jednak moim zdaniem oprogramowanie - jak dla mnie - wykreśla z listy. Z punktu widzenia programisty, widząc taki błąd, aż strach pomyśleć co tam może siedzieć.

 

Uh, jak to dobrze, że z branżą hostingową mam tylko związek jako klient, widzę, że to naprawdę ciężki kawałek chleba.

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hostbill powala cenę w obecnych realiach. Sam żałuję, że gdy był tańszy to jednej licki nie kupiłem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Panowie i Panie może obstawiamy ile będzie aktualizacji do końca miesiąca? 3-4?

A po co? Wydadzą tyle łatek ile będzie potrzebnych. Jak będą musieli wydać 50, to tyle wyjdzie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
@Irek, ale taki błąd:

 

WHMCS używa połowa zachodniego świata,w zasadzie są bezkonkurencyjni. Wydanie tak szybko łatek tylko dobrze o nich świadczy, nie ma idealnego oprogramowania, więc błędy zawsze się pojawią w produkcji aplikacji.

 

Przysłowie mówi:

 

Ten się nie myli, kto nic nie robi.

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

WHMCS używa połowa zachodniego świata,w zasadzie są bezkonkurencyjni. Wydanie tak szybko łatek tylko dobrze o nich świadczy, nie ma idealnego oprogramowania, więc błędy zawsze się pojawią w produkcji aplikacji.

 

To, że coś jest popularne nie znaczy, że jest dobre. Zaczniemy się rozmnażać w fekaliach? Miliardy milionów much nie może się mylić ;) Akurat wiem, że WHMCS to najpopularniejszy soft tego typu.

 

Ale:

- są bardziej narażeni na wszelakie próby złamania zabezpieczeń

- wydawanie łatek szybkie, jest dobre i tutaj ogromny plus dla nich

- taki błąd, jak ten zacytowany przeze mnie, pokazuje tylko, że bardzo słabo u nich z testami - takie coś powinno być wyłapane przez testy jednostkowe i funkcjonalne.

 

Widząc coś takiego:

/clientarea.php?action=masspay&invoiceids[]=1&invoiceids[]=2

co umożliwia Ci dostęp do wszelkich faktur, naprawdę można się zastanowić co tam w kodzie siedzi. I mówię tu bez żadnej ironii. Tutaj akurat jest to ogromny argument dla oprogramowania open-source, w którym błędy są, ale za to znane ;)

 

 

Hej...

Panowie i Panie może obstawiamy ile będzie aktualizacji do końca miesiąca? 3-4?

Jak tak dalej pójdzie to WHMCSa za darmo nikt nie będzie chciał...

 

Przesadzasz, z dwóch powodów:

- pierwszy, patrz wyżej

- drugi, lepiej, że takie łatki są i wydawane są bardzo szybko. Zrobić update jednej instancji to nie problem.

 

Edytowano przez pedro84 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ale:

- są bardziej narażeni na wszelakie próby złamania zabezpieczeń

- wydawanie łatek szybkie, jest dobre i tutaj ogromny plus dla nich

- taki błąd, jak ten zacytowany przeze mnie, pokazuje tylko, że bardzo słabo u nich z testami - takie coś powinno być wyłapane przez testy jednostkowe i funkcjonalne.

 

Nie wiem jak mają rozwiązane testowanie nowych wersji, jednak czasami błędy się zdarzają.

 

/clientarea.php?action=masspay&invoiceids[]=1&invoiceids[]=2

 

Chyba nie działa w tej najnowszej wersji ...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

- drugi, lepiej, że takie łatki są i wydawane są bardzo szybko. Zrobić update jednej instancji to nie problem.

 

 

No właśnie, problem jak masz 5, w sensie nie tyle co problem, co wkurza łatanie co pare dni, no ale bezpieczeństwo przede wszystkim ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

No właśnie, problem jak masz 5, w sensie nie tyle co problem, co wkurza łatanie co pare dni, no ale bezpieczeństwo przede wszystkim ;)

 

A to z tym się zgodzę ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

HB ma ładnie rozwiązane system updatowania, wystarczy kliknąć i wszystko samo się robi, tam więc instalacja łatki nie wiąże się nawet z logowanie na FTP. Szkoda że WHMCS nie stosuje takiego rozwiązania, byłoby znacznie łatwiej przy tak częstych updateach.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ta, wielka szkoda, szczególnie, że większość poprawek powoduje błędy.

 

A co do "nie ma idealnego oprogramowania, więc błędy zawsze się pojawią w produkcji aplikacji." to polecam przejrzeć kod tych exploitów - błędy w WHMCSie są tak trywialne, że szok (własna implementacja register_globals to po prostu "cudo").

To oprogramowanie to żart, a nie system bilingowy - brak pdo, kod na poziomie 13latka, błędy w funkcjonalnościach poprawiane pół roku (np listowanie klientów), żenujący poziom dokumentacji (szczególnie tej od API).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×