phpBB是自由软件,也是开放源代码的网络论坛系统,利用PHP作为程式措辞,并支持如MySQL、PostgreSQL、MSSQL、SQLite、Microsoft Access与Oracle等的资料库。
根据 phpBB 开拓团队近日发布的声明,一个未知攻击者更换了论坛软件 phpBB 的官方下载链接。
黑客的攻击只针对两个下载链接,分别是 phpBB 3.2.2 完全安装包和 phpBB 3.2.1 -> 3.2.2 的自动升级包。这是 phpBB 今年 1 月 7 日发布的最新版本。
据 phpBB 开拓团队表示,被更换的下载链接仅在 181 分钟内有效,不过他们并没有透露攻击者更换下载链接的确切细节,只是说道,入口点是第三方网站,而且在这次攻击中,phpBB.com 和 phpBB 软件都没被利用。
phpBB 的事情职员创造后立即删除了恶意文件的链接。phpBB 管理团队的 Michael Cullum 表示,修正后的软件包中的恶意代码考试测验从远程源加载 JavaScript 代码,目前,他们也正在掌握托管 JavaScript 源码的域名,以使代码无害。
Michael Cullum 见告我们,由于根本举动步伐团队能够迅速做出反应,以是恶意软件包只能在 3 个小时内有效,根据他们的打算,估计受影响的下载总数不会超过 500 次,估量在生产环境中利用的数量要少得多。
以是,官网的下载链接目前是安全的。不过,建议近期在官网下载了 phpBB 3.2.2 软件包的用户将文件的 SHA256 文件哈希值与官方供应的进行校验,以担保是安全无害的。
phpBB 是一个非常受欢迎的基于 PHP 的谈论板,根据 W3Techs 的统计,目前在互联网的所有站点中,有 0.2% 在利用。