Em resposta ao corte recente da Avast

[candidosa2]

(ATUALIZADO o cargo e trancou a fio, análise pendente dos dados)
 
Como você pode ter ouvido, há vários dias, Avast, empresa conhecida por seus antivírus populares e software de segurança relacionada, teve seu local fórum invadido. Avast estava usando SMF como seu fórum de software, como têm feito há vários anos. Quando ouvimos, nós imediatamente tentou contato com o pessoal Avast para que possamos prestar assistência e, mais importante, analisar o vetor de ataque.

Infelizmente, eles não têm sido particularmente próxima em trabalhar conosco (até este ponto), e de fato acusado Simple Machines de uma série de coisas. Embora entendamos que Avast está olhando para preservar a sua posição no mundo da web e olhando para colocar a culpa em qualquer porta de outra pessoa, além da sua própria, estamos preocupados e chateado com as acusações infundadas que têm nivelado. Levamos a segurança do nosso software muito a sério na SMF. (Na verdade, temos um dos melhores discos de todos os softwares fórum aberto para a segurança e para a aplicação de patches rápida e eficaz de problemas de segurança relatados.)

Sem entrar em quaisquer acusações ou ataques de retaliação, deixe-me abordar as questões como apresentado:

1 - Avast afirma ter sido executado SMF v2.0.6. Não conhecemos nenhum vulnerabilidades em v2.0.6, e nenhum deles foi relatado para nós.
1a-A imagem local feita pelo Google pouco antes do corte indica um copyright de 2012 sobre a sua instalação SMF. Isto sugere-nos que eles não estão sendo totalmente honesto com a sua declaração, uma vez que a última versão do SMF para usar uma data de direitos autorais de 2012 foi de 2.0.3.
(correção acrescentou:. 2.0.3 usado (c) 2011 2.0.4 utilizado (c) 2013 - desde Avast mostra claramente (c) 2012, podemos afirmar com confiança que eles não estavam aplicando a plena SMF aprovado manchas de versão para versão e que tudo o que eles estavam fazendo para corrigir o seu sistema foi feito por eles, possivelmente manualmente)
1b-Sabemos que a instalação Avast não era uma instalação padrão e que algumas modificações pessoais tinha sido feito para sua instalação.

2 - Avast afirma que eles receberam a notificação de um site de blackhat que há uma vulnerabilidade de segurança que permite RCE (Execução Remota de Código), em 2.0.6. Eles têm, até agora, estão dispostos a compartilhar o vetor ou registos para nós para confirmar real.
Eles apenas compartilhado no site / link que alegam mostra a vulnerabilidade. Infelizmente, apesar de suas alegações, a "vulnerabilidade" listado no site é nada do tipo. Alega para permitir a execução arbitrária de código PHP, mas é incorreto (e podem ser rapidamente provou ser assim). Embora possa parecer perigoso para quem não está familiarizado com o código, não é possível usar esse código na maneira como o autor "blackhat", sugere. Dado o fato de que esperamos que a equipe Avast estar familiarizado com a codificação, neste momento, temos que assumir que esta é mais uma tentativa de passar a culpa sem provas ou apoio real.

3 - (Achamos isso particularmente preocupante) Avast afirma que Simple Machines lançou um patch de segurança em situação irregular e silenciosa em 2.0.7, que abordou a questão 2.0.6 que eles observam. Nós negam veementemente essa acusação. 2.0.7 foi lançado com algumas pequenas correções de bugs ea principal atualização que tinha a intenção de abordar a função preg_replace / e que foi reprovado no PHP 5.5. Temos afirmado, repetidamente, que não havia nenhuma atualização de segurança em 2.0.7 e até mesmo ter ido tão longe a ponto de dizer às pessoas que, se eles não estão usando PHP 5.5, não há necessidade de atualizar para 2.0.7. Recentemente, criticou um certo outro software para liberar uma atualização de segurança em silêncio, sem informar a seus usuários que a atualização era necessária para ser seguro. Não faria isso. Nós não fizemos isso. Nós convidamos alguém para fazer um diferencial comparar o código 2.0.6 contra o código 2.0.7 e apontar onde essa suposta patch de segurança em silêncio e sem documentos foi feito.

4 - Avast afirmou que eles estão trabalhando com a gente. Como afirmei acima. Nós nos aproximamos deles, ansioso para ajudar e trabalhar com eles para descobrir o vetor de ataque. Eles não só se recusou a dar-nos qualquer informação, mas imediatamente começou nos acusando de ser o vetor. --- Baixinho antes do lançamento desta declaração, recebemos a primeira comunicação real com eles. Neste momento, o Avast está se comunicando com a gente, de certa forma, depois que se aproximou deles novamente, mas até agora, não recebemos qualquer informação útil para que possamos analisar o que exatamente ocorreu. Vamos atualizar este caso de mudança de situação.

5 - Infelizmente, como acontece, algumas agências de notícias ter apanhado sobre o boato, insinuações e acusações lançadas sobre pela equipe Avast e os membros dessa comunidade, e ter concluído (e publicado), sem qualquer evidência real, como se essas declarações eram a verdade.

Nós garantimos a nossa comunidade e qualquer pessoa que use o nosso software de fórum que temos sido incapazes de encontrar qualquer verdadeiras vulnerabilidades em SMF v2.0.6 ou v2.0.7.

Há muitas coisas para especular sobre e posso sugerir várias possibilidades de formas que o hacker poderia ter obtido acesso ao sistema Avast sem qualquer vulnerabilidade no código do SMF. Vou, no entanto, abster-se de jogar fora as acusações de balcão ou especulação selvagem até que mais informação esteja disponível.

Apesar do exposto acima, convidamos os webmasters Avast em contactar-nos ainda mais (ou Kindred, que é o Gerente de Projetos do Simples projeto Machines Forum, ou CoreISP, que é o presidente da corporação Simple Machines ea cabeça do nosso grupo de servidores). Nós ainda estamos dispostos a trabalhar com eles para encontrar o vetor de reais e vai trabalhar rapidamente lançar um patch (e as nossas desculpas) se acharmos que o código SMF foi, de qualquer forma, o vetor de ataque. No entanto, neste momento, temos visto nenhuma evidência para apoiar ou mesmo sugerir que existam vulnerabilidades nas versões 2.0.6 ou 2.0.7 SMF. Além disso, se alguém tiver alguma informação sobre um possível problema de segurança no software Machines Forum Simples, você pode denunciá-lo para [email protected]. Todos os relatórios feitos para esse endereço são analisadas e consideradas pelo Developers, o Gerente de Projeto, o Team Server e membros do resto das equipes. Como afirmei acima, tomamos o nosso registro de segurança a sério.

Acima de tudo, desejamos que a equipe Avast e refrão comunidade de jogar mais acusações e tentativa de prejudicar a reputação da Simple Machines Forum sem provas claras e uma prova de que eles estão dispostos a enviar para revisão.

Avast tem declarado sua intenção de mudar-se para um software diferente para o seu fórum, e que é o seu direito. Enquanto nós odiamos para vê-los deixar nossa comunidade de usuários, eu desafiá-los para realmente encontrar qualquer software open source fórum com um registro de segurança melhor ou uma equipe mais ágil.

parentes
Gerente de Projeto, Simple Machines Forum
Diretor, Simple Machines


UPDATE:
Avast está agora a trabalhar com a gente para analisar os logs do servidor eo código do servidor para determinar o vetor ea carga do ataque.
Uma vez que estamos fora do reino da suposição e adivinhação, e ter alguma evidência, vamos montar uma declaração clara sobre os nossos resultados.