phpBB发布新版本安全更新 致谢知道创宇404实验室

技术百科 admin 发布时间:2024-03-19 浏览:18 次

原标题:phpBB发布新版本安全更新 致谢知道创宇404实验室

近日,phpBB官方开发团队发布了phpBB3.2.8版本,在新版本更新中进一步强化了安全性能,对3.2.x版本中的一些安全问题进行了维护和更新。phpBB官方向为本次版本更新做出贡献的多名安全研究人员和团队发出致谢,知道创宇404实验室研究员郭垠圻(LoRexxar)也收到了官方的感谢。

在2019年7月举办的第五届互联网安全领袖峰会(CSS 2019)中的Tsec腾讯安全探索论坛上,知道创宇404实验室安全研究员郭垠圻(LoRexxar) 曾在大会上分享了议题《Comprehensive analysis of the mysql client attack chain》,从 Mysql 客户端攻击出发,探索真实世界攻击链。

郭垠圻从php 的文件读取函数读取 phar 协议导致的反序列化漏洞在不同环境下的影响谈起,详细的探讨关于 Mysql Client attack 的细节以及利用方式,在MySQL任意文件读取的基础上,探讨并验证一些实际的攻击场景。其中包括 MySQL 蜜罐溯源、MySQL探针、云服务 rds 服务,excel 数据同步服务以及一些cms的具体利用,并探讨了这个漏洞在cms利用上的普适性。

phpBB3.2.8版本的安全更新,也重点参考了郭垠圻的这一研究报告,解决了先前版本中的安全问题。为了进一步避免phpBB遭受潜在攻击,phpBB3.2.8版本集成了Referrer-Policy标头,并禁用了MySQLi本地infile设置。Referrer-Policy标头将阻止将任何类型的Referrer信息发送到安全性较低的目的地或第三方站点,而禁用MySQLi本地infile设置将阻止MySQL服务器潜在地从客户端请求本地文件。

目前phpBB3.2.8版本已经修复了这一安全问题,知道创宇404实验室提醒各位用户尽快进行安全更新,以规避被攻击的风险。

知道创宇404实验室,是国内黑客文化深厚的知名安全公司知道创宇最神秘和核心的部门。在知道创宇CSO、404实验室负责人周景平(黑哥)的带领下,知道创宇404实验室长期致力于Web、IoT、工控、区块链等领域内安全漏洞挖掘、攻防技术的研究工作,团队曾多次向国内外多家知名厂商如微软、苹果、Adobe、腾讯、阿里、百度等提交漏洞研究成果,并协助修复安全漏洞,多次获得相关致谢,在业内享有极高的声誉。返回搜狐,查看更多

责任编辑:

在线咨询

点击这里给我发消息售前咨询专员

点击这里给我发消息售后服务专员

在线咨询

免费通话

24h咨询:400-888-8888


如您有问题,可以咨询我们的24H咨询电话!

免费通话

微信扫一扫

微信联系
返回顶部