Capa » Notícias

Falha no PHP-Nuke põe em risco milhares de sites

Quinta, 18 de outubro de 2001, 14h35
Os sites que rodam o software PHP-Nuke — e são milhares deles — estão correndo um perigo realmente sério, caso seus responsáveis não tomem providências para evitar uma falha descoberta recentemente no administrador de arquivos (admin.php) do sistema. Muitos já estão sendo vítimas de desfiguradores, mas o problema é mais amplo e permite que um atacante simplesmente apague todos os arquivos do site.

Para piorar a situação, o bug é tão fácil de explorar que qualquer pessoa pode penetrar no sistema em menos de dois minutos. Não requer prática nem experiência. Basta escrever uma determinada URL na barra de endereços de um navegador. Se o site estiver vulnerável, o comando fará com que um arquivo, que pode ser batizado com qualquer nome, seja enviado ao diretório de imagens do site. Acessando-se este arquivo, visualiza-se outro, o config.php, que possui nada menos do que o nome de usuário e a senha do banco de dados do site. A partir destas informações, o intruso pode fazer o que quiser, incluindo apagar, copiar ou enviar arquivos para o servidor.

O e-mail enviado à redação por um leitor que prefere não ter seu nome divulgado indica que pelo menos um grupo de desfiguradores — o Tzunami — tem usado e abusado dessa falha nos últimos dias. Basta verificar as estatísticas de Alldas.de, para perceber que, a partir do início deste mês, nove entre dez sites atacados pelo Tzunami rodam o PHP-Nuke.

A falha, descoberta pela equipe do site ./TWLC, atinge todas as versões do software, com exceção da versão 5.0 RC1. O bug já tem correção, a qual pode ser encontrada aqui. Outra solução para o problema é editar o arquivo admin.php e remover a rotina que permite o envio de arquivos sem permissão.

Mas alguns estão tomando caminhos mais drásticos. O site espanhol Kriptópolis, especializado em segurança e criptografia, resolveu simplesmente substituir seu sistema de publicação, por conta da vulnerabilidade. Em vez de PHP-Nuke, o Kriptópolis agora está usando o PostNuke, por considerá-lo mais seguro.

O PHP-Nuke é um software gratuito criado pelo venezuelano Francisco Burzi, baseado na linguagem PHP. Devido à facilidade de uso, principalmente para publicação de notícias, tornou-se bastante popular e foi adotado por inúmeros sites.

Giordani Rodrigues

Volta para a capa | Volta para as notícias

Copyright © InfoGuerra 2000-2001. Todos os direitos reservados.