流行PHP語言論壇程序phpBB的官方網站近日遭受攻擊, 攻擊者取走了網站的完整數據庫, 包括姓名, 電子郵件, 地址, 和加密以后的用戶數據庫完全權限密碼. 據消息人士透露, 在該網站論壇注冊的40萬名用戶信息被攔截. 由于官方網站的論壇理所當然使用了自家的phpBB, 這一漏洞是否會影響到其他使用phpBB的論壇, 受到廣泛關注. 周日的官方解釋說, 問題出在論壇的一個插件程序PHPlist, 這是第三方的電子郵件應用. 在黑客攻陷數據庫兩周之后, 漏洞才被發現. 面對評論中大量要求索回個人資料的回應, 管理員沒有任何答復. [local]1[/local] 一位博客聲明對此事件負責. 他披露自己的一個腳本可以破解多于28000個使用陳舊MD5算法加密的密碼, 在此信息發布時還沒有開始破譯這些密碼. phpBB臨時論壇聲明, 原先的官方論壇并沒有使用最新版的phpBB, 而最新版本使用了更加牢靠的加密算法. 用戶在升級論壇程序以后, 需要重新登錄或注冊, 并且為了以防萬一, 他們不建議用戶沿用舊的用戶名或密碼. 他們也承認了自己的工作失誤, 并向網友道歉. "這充分證明了隨時保持電腦上應用程序最新的重要性." 已經確認漏洞只與插件有關, 而與phpBB程序本身無關, 最新版論壇程序也不會受到影響. 1月29日, 受影響的插件PHPlist也發布了堵住漏洞的新版. 不管如何, 對網管和論壇管理者而言, 這都應該被當作一個教訓, 因為實際上, 一切都可以避免. 來自：cnbeta