Resultados 1 a 10 de 10
  1. #1
    Super Moderador
    Data de Ingresso
    Sep 2010
    Localização
    Procurando...
    Posts
    4,106

    Nova falha de segurança do WHMCS (16-05-2013)

    Nova falha de segurança do WHMCS (16-05-2013)

    ========================================
    WHMCS Security Advisory for 4.5, 5.0, 5.1, 5.2
    WHMCS - WHMCS Security Advisory for 4.5, 5.0, 5.1, 5.2
    ========================================

    WHMCS has released new patches for the 4.5, 5.0, 5.1 and 5.2 minor releases.
    These updates provide targeted changes to address security concerns with the
    WHMCS product. You are highly encouraged to update immediately.

    WHMCS has rated these updates as including critical or important security
    impacts. Information on security ratings is available at
    Security Levels - WHMCS Documentation

    ++++++++++++
    Releases
    ++++++++++++
    The following full-release versions of WHMCS have been published and address all
    known vulnerabilities:
    5.2.5

    The latest public releases of WHMCS are available inside our member's area at
    https://www.whmcs.com/members/clientarea.php

    ++++++++++++++++++++++++++++++++++++
    Security Issue Information
    ++++++++++++++++++++++++++++++++++++
    The Targeted Security Release and Patch updates for 4.5, 5.0, and 5.1 resolve an
    issue of unsanitized information being used in a SQL query. Using a crafted URL,
    an attacker could perform an SQL Injection.

    The Targeted Security Release and Patch update for 5.2 addresses a security
    enhancement regression discovered in 5.2.3 and 5.2.4. This regression is not
    related to the itemized vulnerability mentioned for 4.5, 5.0, and 5.1. The
    regression was identified internally and is not a candidate for public
    disclosure.

    ++++++++++++
    Mitigation
    ++++++++++++

    ------------------
    WHMCS Version 4.5
    ------------------
    Download and apply the appropriate patch files to protect against these
    vulnerabilities.

    Patch files for affected version of the 4.x series is located on the WHMCS site
    as itemized below.

    > v4.5.5 (patch only) - http://www.whmcs.com/download/302/v455patch

    To apply the patch, simply download the appropriate patch file specific to the
    WHMCS version you are running, extract the contents, and upload the files from
    the /whmcs/ folder to your installation.

    No install or upgrade process is required.

    ------------------
    WHMCS Version 5.x
    ------------------
    Download and apply the appropriate full-version or patch of WHMCS to protect
    against these vulnerabilities.

    Patch files for affected version 5.x are located on the WHMCS site as itemized
    below. A full-version of 5.2.5 is located in the WHMCS member's area download
    section, under your license details.

    > v5.0.6 (patch only) - http://www.whmcs.com/download/306/v506patch
    > v5.1.7 (patch only) - http://www.whmcs.com/download/310/v517patch
    > v5.2.5 (patch only) - http://www.whmcs.com/download/314/v525patch
    > v5.2.5 (full-version) - Available in the members area

    When updating from v5.0.5, v5.1.6, or v5.2.4 you can use the patch file and the
    upgrade process is not required. Simply download the appropriate file specific
    to the WHMCS version you are running, extract the contents, and upload the files
    from the /whmcs/ folder to your installation.

    If running any other version you should apply the full-version, simply download
    the file from our member's area and then follow the regular upgrade instructions
    which can be found at Upgrading - WHMCS Documentation

    ================================================== ==============================

    WHMCS Limited
    The Complete Client Management, Recurring Billing & Support Solution

    - Support: http://support.whmcs.com/
    - Documentation: Documentation Home - WHMCS Documentation
    - Members Area: http://www.whmcs.com/members/
    Siga-nos em nosso twitter: @wht_brasil

  2. #2

  3. #3
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,608
    Putz,

    Que saco, já estragou novamente os pedidos com domínio.

    Não da p/ fazer pedido de registro de domínio após essa atualização

    Pelo menos nos meus dois whmcs
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  4. #4
    Super Moderador
    Data de Ingresso
    Sep 2010
    Localização
    Procurando...
    Posts
    4,106
    Citação Postado originalmente por tekobr Ver Post
    Que colcha de retalhos...
    exatamente...
    Siga-nos em nosso twitter: @wht_brasil

  5. #5
    Moderador
    Data de Ingresso
    Oct 2010
    Localização
    Rio de Janeiro
    Posts
    2,679
    Queijim suíço...

  6. #6
    Guru Junior
    Data de Ingresso
    Nov 2010
    Posts
    237
    Citação Postado originalmente por chuvadenovembro Ver Post
    Putz,

    Que saco, já estragou novamente os pedidos com domínio.

    Não da p/ fazer pedido de registro de domínio após essa atualização

    Pelo menos nos meus dois whmcs
    Complicado assim, toda hora uma nova falha. E com essas "correções" vem erros juntos. Bem que a versão 5.2.4 durou mais tempo, em que versão está com esse problema? 5.2?

  7. #7
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Localização
    Rio de Janeiro - RJ
    Posts
    2,289
    Citação Postado originalmente por alvaro Ver Post
    Complicado assim, toda hora uma nova falha. E com essas "correções" vem erros juntos. Bem que a versão 5.2.4 durou mais tempo, em que versão está com esse problema? 5.2?
    Logo no início do texto está escrito:

    WHMCS Security Advisory for 4.5, 5.0, 5.1, 5.2

    Isso me motiva cada vez mais a desenvolver meu próprio gerenciador, mas eu não precisa de integração com cPanel, "painel do cliente" e nem sistema de ticket. Sistema de ticket pode-se usar qualquer sistema php que existe por aí (tem um do Software Público Brasileiro super completo, em PHP e livre), até o OsTicket serve. E cliente só entra no painel do cliente para pagar fatura, então um sistema que emita a fatura e envie o boleto (ou o link para ele) por e-mail é o suficiente.

  8. #8
    Guru Junior
    Data de Ingresso
    Nov 2010
    Posts
    237
    Citação Postado originalmente por tekobr Ver Post
    Logo no início do texto está escrito:

    WHMCS Security Advisory for 4.5, 5.0, 5.1, 5.2

    Isso me motiva cada vez mais a desenvolver meu próprio gerenciador, mas eu não precisa de integração com cPanel, "painel do cliente" e nem sistema de ticket. Sistema de ticket pode-se usar qualquer sistema php que existe por aí (tem um do Software Público Brasileiro super completo, em PHP e livre), até o OsTicket serve. E cliente só entra no painel do cliente para pagar fatura, então um sistema que emita a fatura e envie o boleto (ou o link para ele) por e-mail é o suficiente.
    Eu estava falando do problema informado pelo chuvadenovembro, sobre os pedidos de registro de domínios. Acabei de atualizar com o patch da versão 5.2.5 e está normal a parte dos domínios.

    Quando iniciei montei um pequeno sistema em php apenas para pagamentos, depois mudei para o whmcs e estou com ele a quase 2 anos. Em breve talvez eu refaça o sistema assim acaba essa de atualizar toda hora e esses erros, sem falar que da para economizar com a licença. No meu caso preciso fazer a integração para os domínios e cPanel.

  9. #9
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,608
    Acho que toda atualização é assim, eles dizem que você precisa atualizar o mais rápido possível, ai vamos lá, atualizamos, ficamos contente porque achamos que o gerenciador está protegido, mas no pacote vem o problema de registro de domínios (pelo que sei, é a segunda vez que zica isso), ontem, eu baixei 3x com intervalos de uma hora em cada um, pra ver se o problema era corrigido...sem sucesso, hoje o Edvan disse que o problema havia sido corrigido e era só baixar o mesmo arquivo novamente.

    Baixei e realmente, está ok agora.

    P/ quem baixou ontem, sugiro testar, tente registrar um domínio pelo painel de cliente, vai ver que não sai da mesma tela pedindo p/ digitar o domínio, neste caso é necessário baixar novamente hoje os arquivos.

    Eu também estou pensando em alguma solução que não tenha esses transtornos, mas o whmcs automatiza bastante coisa p/ mim e acredito que me economiza pelo menos um funcionário heheheh

    Gostaria de uma solução que eliminasse estes problemas de injection mas que continuasse com a automação que tenho hoje :/
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  10. #10
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Localização
    Rio de Janeiro - RJ
    Posts
    2,289
    Bom, com automação a melhor escolha realmente é o WHMCS (para nós brasileiros), mas sem automação pode-se usar soluções simples mesmo.

    alvaro, você pode compartilhar esse sisteminha que você fez?

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •