Mambo 4.5.2.3 tietoturvapäivitysohje

Mambon uusimmassa 4.5.2.3 -versiossa on haavoittuvaisuus josta myös Mikropc.net uutisoi. Kyseessä on vakava tietoturva-aukko jonka tietoturvayhtiö Secunia on luokitellut "Highly Critical" luokkaan.

Jos käytössäsi on Mambo 4.5.2.3 lataa mambo4523.administrator.security_fix.zip -tiedosto. Tiedosto sisältää kolme tiedostoa, index.php, index2.php ja index3.php. Korvaa /administrator -kansiossa olevat samannimiset tiedostot uusilla tiedostoilla.

Jos käytössäsi on Mambon aikaisempi versio, tee muutokset samoihin tiedostoihin käsin oheisen mallin mukaan. Lisää seuraavat rivit välittömästi rivin _VALID_MOS jälkeen. Alkuperäinen Mamboserver foorumin artikkeli  löytyy täältä.

Alkuperäinen:

/** Set flag that this is a parent file */
define( "_VALID_MOS", 1 );

if (!file_exists( '../configuration.php' )) {
 header( 'Location: ../installation/index.php' );
 exit();
}

Korjattu versio:

/** Set flag that this is a parent file */
define( "_VALID_MOS", 1 );

$protects = array('_REQUEST', '_GET', '_POST', '_COOKIE', '_FILES', '_SERVER', '_ENV', 'GLOBALS', '_SESSION');

foreach ($protects as $protect) {
    if ( in_array($protect , array_keys($_REQUEST)) ||
         in_array($protect , array_keys($_GET)) ||
         in_array($protect , array_keys($_POST)) ||
         in_array($protect , array_keys($_COOKIE)) ||
         in_array($protect , array_keys($_FILES))) {
        die("Invalid Request.");
    }
}

if (!file_exists( '../configuration.php' )) {
 header( 'Location: ../installation/index.php' );
 exit();
}