SMF 1.1.8 - (jeszcze) nie załatana dziura. Opcje

[erix]

Jakieś badziewie przybłąkało się na jedno z forów opartych na SMF. Klasycznie - doklejone base64_decode" title="Zobacz w manualu PHP" target="_manual do wszystkich plików php w ramach public_html. I szukanie wiatru w polu, co jest grane - przecież soft załatany, wszystko niby ok.

Po wyczyszczeniu wszystkiego, kopię w plikach, to jakis spamerski bot, bo zebrał ~8000 reklamówek w katalogu skinów TinyMCE gotowych do odpalenia, 3 skrypty PHP o sporej wadze i wszędzie podoklejane exploity naszpikowane eval" title="Zobacz w manualu PHP" target="_manualami. Na szczęście, żadnej niszczycielskiej działalności nie ma (przynajmniej nie znalazłem), za to napuchnięty dziennik błędów.

Lock forum, czyszczenie. Wszystko połatane, ale jak zabezpieczyć...? Dokopałem się na oficjalnym forum do wątku: http://www.simplemachines.org/community/in...?topic=291486.0

Kto był winowajcą? Spambot, który rejestruje się na forum, dorzuca avatar i za pomocą wbudowanych atrybutów omija zabezpieczenie w postaci getimagesize" title="Zobacz w manualu PHP" target="_manual:

(IMG:http://images40.fotosik.pl/124/ac058e691d051ba0med.png)

Normalnie żyć, nie umierać... Owszem, pozostaje blokada rejestracji użyszkodników (mod: http://custom.simplemachines.org/mods/index.php?mod=1547), ale przestrzegam wszystkich przed takim sprawdzaniem... Dawno wykorzystywana luka, niestety...

Trzeba zrobić filtrowanie do uploadowania, poszukam jeszcze jakiegoś sposobu na wywalenie atrybutów z pliku i chyba napiszę łatkę.

Obejście:

Kod

mogrify -strip image.jpg

edit:

[PHP] pobierz, plaintext 
<?php
$fp = fopen($destName, 'wb');
    if ($fp && substr($url, 0, 7) == 'http://')
    {
        $fileContents = fetch_web_data($url);
 
        // Though not an exhaustive list, better safe than sorry.
        if (preg_match('~(iframe|<?php|<?|<%|html|eval|body|script)~', $fileContents) === 1)
        {
            fclose($fp);
            return false;
        }
 
        fwrite($fp, $fileContents);
        fclose($fp);
    }
    elseif ($fp)
    {
        $fp2 = fopen($url, 'rb');
        while (!feof($fp2))
            fwrite($fp, fread($fp2, 8192));
        fclose($fp2);
        fclose($fp);
    }
?>
[PHP] pobierz, plaintext 

Sprawdzanie jest, ale tylko dla zewnętrznych plików, uploadowanych już nie... :X

edit2: No i gotowa łatka. Powyższy listing jest z pliku ./Sources/Subs-Graphics.php i powinno wystarczyć:

[PHP] pobierz, plaintext 
<?php
$fp = fopen($destName, 'wb');
    if ($fp && substr($url, 0, 7) == 'http://')
    {
        $fileContents = fetch_web_data($url);
 
        // Though not an exhaustive list, better safe than sorry.
        if (preg_match('~(iframe|<?php|<?|<%|html|eval|body|script)~', $fileContents) === 1)
        {
            fclose($fp);
            return false;
        }
 
        fwrite($fp, $fileContents);
        fclose($fp);
    }
    elseif ($fp)
    {
        $fp2 = fopen($url, 'rb');
        while (!feof($fp2))
            fwrite($fp, fread($fp2, 8192));
        fclose($fp2);
        fclose($fp);
        
        if (preg_match('~(iframe|<?php|<?|<%|html|eval|body|script)~', file_get_contents($destName)) === 1){
            file_put_contents($destName, '');
            return false;
        }
    }
?>
[PHP] pobierz, plaintext 

Zamiast tamtego fragmentu. Nieco obejście, ale powinno działać. Buga zgłosiłem autorom. Aha, nie zapomnijcie o

Kod

mogrify -strip *.jpg

dla katalogu attachments.

edit3: wyszła wersja 1.1.9 łatająca tę dziurę.