Olá,

Recebi o email agora da WHMCS, informando sobre um release de segurança para todas as versões do WHMCS acima da 4.x

Segue post original:

A security issue has been discovered that we consider to be of a high severity, and as a result we have decided there is a need to release an immediate patch for it.


Although not related to the new release, it is unfortunate timing so soon after the release, but we take security very seriously and so if an issue becomes apparent to us, we will always issue a patch immediately for it as our track record with patches in recent years demonstrates.


Applying the patch is very simple. It's just a single file to update. There are separate versions of the file for each release of WHMCS from V4.0 up to the very latest V5.0 release. The patch download consists of a single file which just needs to be unzipped, and then uploaded to the /includes/ folder replacing the existing file. Download links are as follows:


Version 4.0.x -> http://www.whmcs.com/members/dl.php?type=d&id=107

Version 4.1.x -> http://www.whmcs.com/members/dl.php?type=d&id=108

Version 4.2.x -> http://www.whmcs.com/members/dl.php?type=d&id=109

Version 4.3.x -> http://www.whmcs.com/members/dl.php?type=d&id=110

Version 4.4.x -> http://www.whmcs.com/members/dl.php?type=d&id=111

Version 4.5.x -> http://www.whmcs.com/members/dl.php?type=d&id=112

Version 5.0.x -> http://www.whmcs.com/members/dl.php?type=d&id=113


If you have any questions or need any assistance applying the patch, please do not hesitate to contact us.


We apologize for the inconvenience.


* An email notification is going out to all active license holders

* All client area downloads have been updated to include this by default

Segue post traduzido

Uma falha de segurança foi descoberta, e nós a consideramos de alto risco, e decidimos que devemos liberar a correção imediatamente.


Infelizmente, faz pouco tempo desde o último [I]release[/I], mas nós levamos segurança muito a sério, portanto, se nós identificarmos o problema de segurança, nós iremos sempre iremos liberar um patch de segurança imediatamente, conforme nosso histórico de patch's nos últimos anos mostra.


Aplicar o patch é muito simples. Basta enviar um arquivo para atualizar. Há versões separadas para cada [I]release[/I] do WHMCS, da V4.0 para cima, até a V5.0. Este patch consiste em um simples arquivo que somente necessita ser deszipado, e então enviado para a pasta /includes/, substituindo o arquivo anterior. Os links para download estão abaixo:


Versão 4.0.x -> http://www.whmcs.com/members/dl.php?type=d&id=107

Versão 4.1.x -> http://www.whmcs.com/members/dl.php?type=d&id=108

Versão 4.2.x -> http://www.whmcs.com/members/dl.php?type=d&id=109

Versão 4.3.x -> http://www.whmcs.com/members/dl.php?type=d&id=110

Versão 4.4.x -> http://www.whmcs.com/members/dl.php?type=d&id=111

Versão 4.5.x -> http://www.whmcs.com/members/dl.php?type=d&id=112

Versão 5.0.x -> http://www.whmcs.com/members/dl.php?type=d&id=113


Se você tiver alguma dúvida, ou precisar de ajuda, não exite em entrar em contato conosco.


Pedimos desculpas pelo inconveniente.

Editado Dezembro 1, 2011 em 21:43 Dez 1, 2011 por Visitante

É o segundo em pouco espaço de tempo!

Tenso...

Isso mesmo uma ocorreu em 13/06 http://www.whmcs.blog.br/principal/atualizacao-de-seguranca/ e outra 15/10 http://www.whmcs.blog.br/principal/correcao-de-seguranca/

há 4 dias atrás recebi um comentário no blog:

Ta com falha de segurança grave a versão 5.x, assim que instalei em menos de 24 horas conseguiram entrar no admin e pegaram o login e senha root, entraram no servidor e ainda conseguiram pegar o /etc/passwd inteiro. Minha sorte que eu estava logado na hora e deu tempo de mudar a porta do ssh e bloquear o acesso, porém tive de mudar todas as senhas de root, mysql, e-mails, paypal, pagseguro, contas bancárias etc. Ainda tive de forçar a troca de senhas de todas as contas cPanel, as contas que ainda vão ser afetadas terei de restaurar o backup delas. E pra completar se eu libero a conta com o WHMCS em menos de 1 hora entram de novo mesmo depois de trocar todas as senhas de conexões do bd, admin etc. Tive de deixar suspensa a conta e estou levando um prejuízo altissimo por dia. Agora o jeito é aguardar o novo servidor para configurarmos hoje ainda e ir migrando as contas aos poucos até o final do dia. E o WHMCS terei de voltar para a versão 4.5.2 porém estou pensando seriamente se vou continuar com ele.

Não levei "fé" no comentário e agora vem essa atualização!

A WHMCS.com deveria citar detalhes do que realmente ocorreu.

Preocupante em; como Carlos Zamora disse, segundo em pouco intervalo de tempo. Bom, de qualquer forma, obrigado ao Rodrigo pelo post rapidíssimo, após cair em seu conhecimento, valeu mesmo. Já fiz a alteração. Agora é esperar pra ver qual a próxima.. - "bola fora da WHMCS hem" -

Abraço;

Complicado, mesmo....

O estanho e que afecta todas as versões.. ainda bem que ja lanzaram a atualização...

Realmente preocupante.

Espero que essa atualização resolva o problema.

Eu ainda vou esperar umas semaninhas ai para atualizar essa versao, algo me diz que vai ter mais alguma atualização;....

Eu ainda vou esperar umas semaninhas ai para atualizar essa versao, algo me diz que vai ter mais alguma atualização;....

Realmente. Sempre é bom esperar algumas semaninhas antes de atualizar para uma versão que acabou de ser lançada.

Eu ainda vou esperar umas semaninhas ai para atualizar essa versao, algo me diz que vai ter mais alguma atualização;....

Acho que é o mais correto, vamos aguardar!

Que foi que disse que o WHMCS era mais seguro por ser código fonte fechado? Balela, taí a prova que ele pode ser menos seguro que a maioria open source... Lá vai eu atualizar novamente.