 På https://www.facebook.com/GenuineFusion/ kan der læses, at systemet er udsat for sikkerhedsrisici p.gr.a. en forkert indstilling i systemet.
Her er en google-translate af meddelelsen:
Vigtig sikkerhedsmeddelelse til alle
Kære allesammen,
Vi er for nylig blevet opmærksom på, at alle PHP-Fusion CMS-installationer ikke har aktiveret MIMECHECK-beskyttelsen og udsat systemet for RCE-sårbarheder.
Hvad er RCE?
RCE er kort for eksterne kodekørsler, hvilket betyder at din formindgang kan vendes om proxy hacked. Hvad det betyder er, at den filindgang, der er beregnet til billeder, kunne uploade en .php eller .exe-fil i stedet af en hacker gennem en omvendt proxy og derefter køre den gennem en terminal eller browser.
Sådan beskytter du mod RCE?
Beskyttelsen MIMETYPE, som findes i Administration> Indstillinger> Diverse - Tænd Mimetype-tjek, skal være aktiveret for at forhindre RCE.
Jeg har personligt bekræftet, at omvendt proxy ikke længere kan fungere, når det er aktiveret.
Der er ikke noget at rette eller downloade, men snarere ændre vores kerne installations script til at få det som standard i nye downloads fra nu af.
Vi anbefaler dig stærkt at gøre det, hvis dine webstedsindstillinger stadig er deaktiveret. Tænd den nu.
Tak fordi du læste. helmuth d. 16. maj 2019 09:29
|