kan het dat een (sterk) verouderde versie van phpbb een server in de probleemen brengt en dan voornamenlijk op database gedeelte?
en hoe gaan julie om met klanten die een wat ouder phpbb script draaien ?
kan het dat een (sterk) verouderde versie van phpbb een server in de probleemen brengt en dan voornamenlijk op database gedeelte?
en hoe gaan julie om met klanten die een wat ouder phpbb script draaien ?
Een oudere PHPbb versie?
Hij zal hooguit een beetje lagg creëren lijkt mij, wat is er precies mis?
Het is mogelijk om via veiligheidslekken in oudere versies rare dingen te doen, zelfs een database "in verwarring" brengen is mogelijk.
Wat ik met klanten doe die een echte oude versie hebben draaien ........ vriendelijk verzoeken te updaten, desnoods een helpende hand aanbieden.
Het is inderdaad erg verstandig phpBB regelmatig te updaten.
phpBB wordt veel gebruikt waardoor het interessant is om er een manier voor te vinden om het te misbruiken.
De oudere versies hebben flink wat bugs, de nieuwe ongetwijfeld ook maar die zijn nog niet altijd bekend waardoor het ook nog geen probleem is.
Realhosting - proffesionele hosting, personal service
ik heb server waar een klant een erg oude versie van phpbb op had de server gaf kuuren met mysql van hele server zo erg dat alle databasen er uit lagen
na reboot doet alles het weer voor even een aantal uur
nu hebben we een bacup gemaakt van acound en acound met phpbb verwijderd van server en nu al 1.5 dag geen problemen meer
het leek mij ook sterk maar het lijkt er op of het echt aan de oude versie van phpbb lag
vandaar mijn vraag
Controleer dan eens je logfiles voor HTTP toegang en log eens MySQL queries.
Wellicht dat je dan wat uit kan sluiten.
Realhosting - proffesionele hosting, personal service
phpbb is een ramp, alle oude versies.
1) sql injecties
2) ubb fouten
3) file injecties
4) enorm veel spambots die er naar zoeken en accounts aanmaken met reclame
Er is ergens een script voor server om te draaien in ssh, en die toonde dan oude versies van phpbb op je server, zodat je er zelf niet naar moest zoeken.
Persoonlijk raad ik oude phpbb versies zwaar af.
Niet alleen breng je heel de server in gevaar, hij kan ook makkelijk je hele server plat krijgen.
De laatste versies zijn gelukkig al wat beter, maar die ouderen waren een ramp. (ik geloof tot en met .13 op het einde was een ramp voor de server, de rest enkel voor de klant zijn bestanden)
Sorry als ik verkeerd ben, maar ik zeg het zoals ik uit ervaring heb geleerd.
Trouwens, ik ben een grote phpbb fan. ;-)
Die nieuwe versies zijn zaaaalig! + het is gratis :-)
mijn eigen fora zijn up to date maar ik had een klant die nog draaide met versie 2.08 (slik)
maar ik ga hier dus zeker wat feller op zitten bij mijn klanten gaat zeker een mail over uit dat ik verwacht dat phpbb up tp date blijft
2.08 raad ik je zwaar zwaar zwaar af.
Kijk gewoon al naar de beveiligingsfixes in de laatste versie tot nu toe alleen al: versie 2.0.22:
[Sec] Check for the avatar upload directory reinforced
[Sec] Changes to the criteria for "bad" redirection targets - kellanved
[Sec] Fixed a non-persistent XSS issue in private messaging
[Sec] Fixing possible negative start parameter - SpiderZ.
[Sec] Added session checks to various forms - kellanved
Ik maak hier uit op:
remote file injection
XSS, sessies en cookies stelen
U voordoen als iemand anders
Foutieve verwijzingen waardoor je server misbruikt kan worden
Input werd onvoldoende gecontroleerd
...
Phpbb rules :-D
EDIT:
http://milw0rm.com/exploits/3258
Zelfs als je phpbb veilig is, moet je nog steeds oppassen voor fouten in mods!
het mag duidelijk zijn dat deze versie dus gister door ons verwijderd is
we zullen deze versie op een locale server updaten naar nieuwste versie voor deze klant en klant verzoeken om phpbb up to date te houden
maar vraag blijft bestaan hoe gaan julie om met klanten die oudere versie's hebben
Dit kon ik even niet laten:
php 2.0.22 abusen om XSS uit te voeren filmpje:
http://milw0rm.com/video/watch.php?id=58
Hier komt het door een fout in ie, maar ja, wie gebruikt dat nu niet? (ik dus )
Wij vragen simpelweg om als ze phpbb hosten, die steeds up2date te houden, samen met de mods.
Een andere manier is iedereen die phpbb host op een mailinglist zetten, en vanzodra er een nieuwe versie is (moet je maar heeel heeel af en toe gaan kijken), iedereen mailen.
Dan worden ze er nog eens aan herrinnerd ze up te daten.
Je kunt phpbb gaan verbannen, maar zelfs in betaalde varianten zoals ipb zitten deze fouten. Grote kans dat je zo'n fouten maakt zonder dat je het zelf weet...
http://www.cplicensing.net/files/scripts/chkphpbbver (Cpanel)
17 aanpassen naar 22, dat is alles.Code:my $current_version = '17';
Een foum dat nog op .08 draait, is zwaar vulnerable en kan je diverse problemen opleveren.