Atualização de Segurança

68

Foi divulgado a pouco via fórum / twitter oficial da WHMCS.com uma atualização de segurança que visa corrigir uma vulnerabilidade no WHMCS que explora um ataque via SQL Injection, essa atualização é simples de ser feita.  Faça o download do may29patch.zip através do link e descompacte em seguida, abra a pasta may29patch e você encontrará o dbconnect.php, envie para raiz do seu WHMCS. Pronto você não precisa fazer mais nada!  Essa falha foi divulgada por um programador com boas intenções que notificou a WHMCS.com e procedeu a correção de segurança antes de se tornar amplamente conhecido. Segue comunicado abaixo:

Security Patch Release

Within the past few hours, an ethical programmer disclosed to us details of an SQL Injection Vulnerability present in current WHMCS releases.

The potential of this is lessened if you have followed the further security steps, but not entirely avoided.

And so we are releasing an immediate patch before the details become widely known.

Installing the patch is simply a case of uploading a single file to your root WHMCS directory. This one file works for all WHMCS versions V4.0 or Later.

http://go.whmcs.com/26/secpatch

The events of last week have obviously put a lot of focus on WHMCS in recent days from undesirable people. But please rest assured that we take security very seriously in the software we produce, and will never knowingly leave our users at risk. And on that note if any further issues come to light, we will not hesitate to release patches for them – as we hope our past history demonstrates.

We thank you for choosing WHMCS.

[This is being mailed out but if you can help spread the word faster to other WHMCS users you know, please do.]

Confira aqui a tradução do comunicado acima!

Esse comunicado será enviado via e-mail pela WHMCS.com mas como a base de dados é imensa você receberá dentre alguns minutos/horas ( já recebi o comunicado via e-mail ).

Já fiz essa atualização no meu WHMCS e você?

Atualização 14: 09

O site da WHMCS.com apresenta uma instabilidade, faça o download do arquivo [Download não encontrado.].

Atualização 15: 00

Site da WHMCS.com voltou ao normal.

Atualização 15: 05

Alguns usuários nos fóruns relatam que após a atualização não conseguem efetuar compra de domínios pois surge o erro:

Após atualização alguns usuários estão reclamando de um erro ao tentar comprar um domínio (  http://seuwhmcs.com/cart.php?sld=testdomain&tld=.com )

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: Access denied for user ‘root’@’localhost’ (using password: NO) in /home/******/public_html/dbconnect.php on line 0

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: A link to the server could not be established in /home/******/public_html/dbconnect.php on line 0

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: Access denied for user ‘root’@’localhost’ (using password: NO) in /home/******/public_html/dbconnect.php on line 0

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: A link to the server could not be established in /home/******/public_html/dbconnect.php on line 0

Para resolver esse problema, baixe novamente o arquivo diretamente do link http://go.whmcs.com/26/secpatch ou o arquivo [Download não encontrado.] e reenvie!

Atualização 4/6:

Alguns WHMCS ( painel do cliente ) após atualização de segurança estão com falha no carregamento da linguagem ( txt/php ) e com isso ficavam em branco. Para resolver esse problema acesse a pasta /lang/ e renomeie os arquivos ( retire a primeira letra maiúscula ), exemplo Portuguese-br.txt para portuguese-br.txt ou Portuguese-br.php para portuguese-br.php

Em seguida vá no menu General Settings, Aba Localisation e na opção Default Language selecione a linguagem padrão e salve as alterações!

Veja a solução em http://www.whmcs.blog.br/principal/correcao-painel-do-cliente/

68 COMENTÁRIOS

  1. Engraçado isso. Provavel deve ter sido algum progrador usa/reino unido.
    Semanas um amigo meu que faz alguns trabalhos para mim, encontrou(possivel) a mesma  vulnerabilidade e o suporte da WHMCS pode se dizer que não aplicou aviso algum.

      •  Um conhecido meu, fazendo testes em uma isntalação minha whmcs testes encontrou essa vulnerabilidade ( ou parecida ). Eu elertei ao suporte da whmcs e não deram bola.

    • Foi eu quem avisou e provou o bug. Em seguida eles lançaram o patch. Mas estou desde domingo levantando N provas para eles se convencerem de que o bug estava no sistema deles. Um servidor meu foi invadido por conta do bug….

        • Não! Meu server foi invadido a partir desde bug. Eu juntei os logs de acesso e mostrei a eles que após um post minha instalação do WHMCS, eles tiveram acesso ao mesmo e em seguida ao servidor.

        • Posso te afirmar que isso não procede… já identifiquei N problemas e foram corrigidos sem muito alarde.

        • Acho que você é um caso a parte, por já ser parceiro antigo deles. Os chamados que eu, mero cliente, mando pra eles parece que são respondidos pelo porteiro, tão seco e sem sentido que são.

        • Quando isso ocorrer solicite que o ticket seja encaminhado para o “Level 2”, você tá pagando e tem direito a um bom suporte.

  2. Engraçado isso. Provavel deve ter sido algum progrador usa/reino unido.
    Semanas um amigo meu que faz alguns trabalhos para mim, encontrou(possivel) a mesma  vulnerabilidade e o suporte da WHMCS pode se dizer que não aplicou aviso algum.

  3. […] Foi divulgado a pouco via fórum / twitter oficial da WHMCS.com uma atualização de segurança que visa corrigir uma vulnerabilidade no WHMCS que explora um ataque via SQL Injection, essa atualização é simples de ser feita.  Faça o download do may29patch.zip através do link e descompacte em seguida, abra a pasta may29patch e você encontrará o dbconnect.php, envie para raiz do seu WHMCS. Pronto você não […] leia mais… […]

    • kkk, quando o site americano avisou não passava de especulação… Pois não havia provas, correto? E pelo fui informado esse tipo de problema atingiu que estava com a pasta /admin/ desprotegida… Enfim parece que foi resolvido.

  4. Aff, e você todo posudo dizendo que era intriga. kkkk. Acabei de saber de vários vps que foram detonados (em empresas diferentes) por conta do erro. 
    Lamentável meu aviso, não é, Edvan?

    • kkk, quando o site americano avisou não passava de especulação… Pois não havia provas, correto? E pelo fui informado esse tipo de problema atingiu que estava com a pasta /admin/ desprotegida… Enfim parece que foi resolvido.

        • kkkk sei, um usuário do blog disse que o programador dele pegou a mesma falha. Eu vi o código do exploit antes da liberação do patch.

  5.  Olá amigos do blog eu fiz essa atualização do arquivo dbconnect.php agora nao acesso mais o whmcs abra pagina em branco algume pode informa que houve?

  6.  Olá amigos do blog eu fiz essa atualização do arquivo dbconnect.php agora nao acesso mais o whmcs abra pagina em branco algume pode informa que houve?

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here