流行开源论坛软件phpBB官方下载链接遭黑客“偷梁换柱”

December 09, 2023
测试
测试
测试
测试
1 分钟阅读

“用指尖改变世界”

自2000年发布以来,phpBB已经成为世界上应用最广泛的开源论坛软件。它拥有易于使用的管理面板和友好的用户安装界面,可以让用户轻松地在数分钟内就建立起属于自己的论坛。

根据phpBB开发团队在上周六发布的声明,phpBB官网两个用于下载软件安装包的链接遭到了匿名黑客的篡改。

这两个链接原本用于下载phpBB 3.2.2完整安装包以及 phpBB 3.2.1->3.2.2的自动更新程序包,用户在不知情的情况下被重定向到了一个不属于phpBB的服务器。

恶意链接在phpBB的官网上存在了约3个小时,期间下载了软件包的用户实质上收到了被嵌入恶意代码的受感染版本

phpBB在其声明中写道:“如果你在1月26日下午12:02到15:03期间下载了phpBB 3.2.2完整安装包以及 phpBB 3.2.1->3.2.2自动更新程序包,则会收到篡改者提供的恶意软件。”

phpBB开发团队在发现这一情况后,立即对恶意链接进行了删除,并同时与第三方安全服务公司一起展开了调查。

受感染版本软件包中的恶意代码会尝试从远程源加载JavaScript代码。目前,phpBB开发团队正在控制托管JavaScript源代码的域名,以使代码无害。

phpBB开发团队表示,如果用户认为自己下载的是受感染版本,可以将其发送至phpBB开发团队的官方电子邮箱,他们会对其进行确认并对用户进行回复。另外,用户也可以将自己下载软件包的SHA256哈希值与phpBB官方下载页面上提供的哈希值进行对比,以此来验证其安全性

phpBB开发团队成员Michael Cullum强调,phpBB的服务器和软件并没有在此次攻击事件中被利用。此外,由于恶意链接只存在了约3个小时,下载量不会超过500。因此,真正受影响的用户并不会太多

他还表示,phpBB开发团队目前仍在对此次攻击事件进行调查,一旦掌握进一步的信息,将及时公布更多细节。

本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

继续阅读

更多来自我们博客的帖子

如何安装 BuddyPress
由 测试 December 17, 2023
经过差不多一年的开发,BuddyPress 这个基于 WordPress Mu 的 SNS 插件正式版终于发布了。BuddyPress...
阅读更多
Filter如何工作
由 测试 December 17, 2023
在 web.xml...
阅读更多
如何理解CGAffineTransform
由 测试 December 17, 2023
CGAffineTransform A structure for holding an affine transformation matrix. ...
阅读更多