😱 Найдена 10-летняя критическая дыра в phpBB, ломающую форум одним запросом

Легендарный движок phpBB, на котором в нулевых крутилась половина интернета (и который до сих пор жив на тысячах серверов вроде Debian Forums и тд), оказался эпично дырявым.

Баг работает при дефолтных настройках, где один неавторизованный HTTP-запрос позволяет получить валидную сессию абсолютно любого пользователя. А поскольку на стандартном phpBB список мемберов открыт всем ветрам, спарсить логин админа или модератора - задача на пару секунд.

А теперь следите за руками, как именно это работает и что происходит при взломе админа:

🟢Хакер скармливает сплойт и забирает сессионную куку главного админа. Всё, теперь атакующий может читать вообще любую личку, видеть скрытые разделы, удалять любые темы, банить пользователей и постить скам от лица админа. Репутационный ущерб и слив данных ⚰️

🟢Спасительный костыль и почему форумы не рухнули от массового RCE и ботнетов? Миллионы форумов спас древний архитектурный нюанс phpBB. Разрабы еще в лохматые годы ввели правило... даже если ты авторизован как админ, для входа в Админ-панель движок требует заново ввести пароль текстом.

Поскольку баг угоняет только саму сессию, реального пароля у хакера нет. Он с разбегу упирается в окно авторизации Админ-панели. Из-за этого он физически не может зайти в админку, чтобы установить вредоносный плагин, залить шелл или сдампить БД целиком. Тот редкий случай, когда бесячее легаси-неудобство спасает сервера 🎩

Дыра жила в коде около 10 лет и затрагивает все версии вплоть до 3.3.16 и 4.0.0-a2. Экстренный патч уже выкатили в релизе 3.3.17.

Типичный 🥸 Сисадмин

Копите или сразу выбрасываете? 😬

Типичный 🥸 Сисадмин

Свой корпоративный мессенджер без серверной и IT-отдела? Легко! 💡

19 июня в 11:00 (мск) команда Труконф проведёт вебинар о том, как быстро развернуть частный мессенджер с каналами, чатами, ботами, звонками и видеосвязью без танцев с бубном и дорогостоящего железа. ⚡️

В программе:

🔵 Что делать, если нет серверной или подходящего оборудования
🔵 Возможности бесплатного on-premise мессенджера TrueConf Server;
🔵 Пошаговый гайд по установке и настройке;
🔵 Перенос старых чатов и файлов в новый мессенджер;
🔵 Полезные советы и онлайн-диалог с участниками вебинара.

Событие подойдет малому и среднему бизнесу, НКО и компаниям, которые ищут альтернативу публичным мессенджерам и хотят управлять системой коммуникаций в без лишних затрат, рисков и внешнего влияния.

📆 19 июня, 11:00 (мск)
🔗 Регистрация

Не забывайте всегда иметь 3 точки соприкосновения на лестнице!

Типичный 🥸 Сисадмин

ИДЕАЛЬНО! 😂

Типичный 🥸 Сисадмин

📞 Совфед окончательно утвердил базу IMEI с жесткой привязкой железа к SIM-карте

Одобрен второй пакет мер по борьбе со скамерами, и главная звезда этого документа - запуск национальной базы IMEI... закон вводит обязательную связку IMEI + SIM-карта. Официальный мотив - защита от скамеров, борьба с крадеными трубками и симбоксами.

Что это значит на практике для рядового юзера:

🟢Больше нельзя просто вытащить симку, сбросить настройки и продать телефон на авитах. Перед продажей б/у аппарата владелец будет обязан снять привязку IMEI к своему номеру (скорее всего, через Госуслуги или ЛК оператора). Если вы вставите свою симку в купленный с рук телефон, который прошлый владелец забыл отвязать, то коммутатор увидит несовпадение аппаратного ID и профиля абонента, и лопата мгновенно превращается в дорогой плеер с Wi-Fi 😶

🟢Убийство серого импорта. Импортеры белой техники будут заносить IMEI целыми пулами при растаможке. А вот если вы заказали телефон с Алика или привезли телефон из отпуска, то его IMEI в базе нет. Сеть он не найдет. Как именно физик будет доказывать легальность ввоза своей одной мобилы и ставить ее на учет - хз, пока этот вопрос решается.

🟢Из хорошего 😰... ОпСоСам так и не удалось протащить идею платной регистрации IMEI (налог на воздух отменили, видимо, биллинги операторов тупо не вывезли эту логику, о чем писал еще весной). Плюс, всё железо, которое уже прямо сейчас светится в сетях РФ, автоматически получит амнистию и будет признано легальным 🙏

А для пытливых умов наступает ренессанс хардкорных разделов на 4PDA. Искусство подмены IMEI, забытое где-то в десятых годах, снова становится прибыльным навыком. Мы увидим массовое возвращение софта для редактирования NVRAM, бэкапов QCN-файлов, рута и AT-команд. Народ будет массово клонировать легальные IMEI от старых, сгоревших бабушкиных Nokia на новые китайские лопаты, порождая дубли в сетях... Испарятся ли при всём этом скамеры?

Эпоха, когда ты был хозяином своей мобилы просто потому, что купил его за свои деньги, подошла к концу 👾

Типичный 🥸 Сисадмин

Круговорот ИТ-тары в природе 🥡

Пустая бухта из хозяйства никогда не выбрасывается. Сегодня в ней лежит кусок витухи, завтра - старые свитчи, а на выходных свежий улов... СОМ.

Типичный 🥸 Сисадмин

Когда твой уютный кабинет в подвале 😭

З.Ы. Понадобится очень много риса

Типичный 🥸 Сисадмин