Znany wszystkim Zeus kit, czyli zautomatyzowany pakiet do wykorzystywania błędów w aplikacjach i infekowaniu systemów złośliwym oprogramowaniem, doczekał się poprawek. Co ciekawe poprawek, które wyszły nie z ręki samego twórcy sprzedającego pakiet, a od ludzi trzecich, którzy postanowili poprawić błędy poprzedniej wersji i dodać coś od siebie. Około dwóch miesięcy temu została opublikowana informacja, że Zeus kit posiada poważne błędy umożliwiające przejęcie kontroli nad całym pakietem, a co za tym idzie na zdobycie sieci botnet od konkurencji. Obecność błędów typu SQL Injection oraz Remote File Include umożliwiały właśnie takie akcje. Jak to w duchu Open Source, ktoś postanowił poprawić popsute oprogramowanie.
Zmian jak można przeczytać w Changelogu jest sporo i oprócz usunięcia błędów oraz porządków w kodzie, zostały dodane nowe funkcjonalności. Do najciekawszych warto zaliczyć brak niezakodowanych haseł, dodanie obsługi GeoIP, sprawdzanie poprawności wysyłanych zapytań, ale też wiele innych :] Wychodzi na to, że Open Source jest obecne już w każdej działalności, także tej z ciemnej strony mocy. W sumie świadomość, że poprawiany jest kod wpływający na bezpieczeństwo produktu, którego de fakto głównym zadaniem jest właśnie wpływanie na bezpieczeństwo – jest według mnie interesująca i radosna…
Poniżej pełen Changelog:
– code improvements and optimizations
– internal data checkings added
– exit() function instead of die()
– echo() function instead of print()
– mysql_affected_rows () changed to mysql_num_rows () everywhere
– all queries are fixed in system or mod .php files
– no text password in the database and clear text password in $_SESSION, cookies authentication is gone and md5 hashes are everywhere
– Geo IP support has been added
– umask () bug fixed, the file has been created (chmoded) with different permissions
– language improvements and pre-installation checks
– checking for php version/safe_mod/open_basedir as you’re required to run php 5.1.0 or higher to run it successfully
– fixed sql injection in credentials checking
– GetUserData () function has been rewritten – possible sql injection fixed
– possible remote file inclusion fixed
– socket error definition changed
– gcnt () function has been rewritten so you can use geolication – GeoIP which is free and GeoIPCity which is paid
– ip address checking improved through validIP() function improvement
– all queries are now fixed, input data has been sanitized
– fs () function has been fixed in order to improve the quality of the log names
– formatFilePath () function has been added for file upload purposes
– arbitrary file upload bug has been fixed so that you can now upload only images with original names
– the Log2SQL () function has been changed and stricter data checking/sanitizing is added
– internal file sorting mechanism is improved so that files/dirs are sorted by file modification time”
Źródło: http://ddanchev.blogspot.com/2008/11/modified-zeus-crimeware-kit-gets.html