|
|
|
phpBB2 by Przemo
Support forów phpBB2 modified by Przemo
|
|
|
Przesunięty przez: Widmo
21-03-2006, 23:03 |
[ UPDATE ] phpBB 2.0.17 aktualizacja zabezpieczeń ! |
| Autor |
Wiadomość |
Przemo
Pomógł: 210 razy
Posty: 3148
|
 Wysłany: 20-07-2005, 02:29 [ UPDATE ] phpBB 2.0.17 aktualizacja zabezpieczeń !
|
|
|
Jak podaje phpBB Group (a w zasadzie potwierdza wcześniejsze ostrzeżenia z innych źródeł) światło dzienne ujrzała nowa niezbyt groźna dziura w systemie bbcode. Umożliwiała wstrzyknięcie XSS do kodu html strony.
W związku z tym wersja phpBB 2.0.17
Z powierzchownych obserwacji wynika, że ta dziura nie działała w mojej wersji, z uwagi na drobne zmiany w kodzie bbcode, które wprowadziłem, lecz mimo wszystko należy zaktualizowac forum (są to tylko powierzchowne obserwacje)
Użytkownicy mojej modyfikacji powinni ściągnąć plik bbcode.zip z załącznika, rozpakować i nadpisać do katalogu /includes/ w swoim forum.
Można dokonać zmian dla checkfiles w pliku check_data.php: | Kod: | $md5_sum['includes/bbcode.'.$phpEx] = '0c1931003f1c984286f6e65352d0c759';
$sizes['includes/bbcode.'.$phpEx] = '19683'; |
Powyższe zabezpieczenie zawiera główny pakiet na stronie głównej, oraz aktualizacja 1.9-1.9.4 oraz 1.9.4-1.9.5
Jeżeli ktoś modyfikował plik bbcode.php może skorzystać z poniższego kodu do ręcznej aktualizacji: | Kod: | Otwórz plik /includes/bbcode.php
Znajdź:
$patterns[] = "#\[url\]([\w]+?://[^ \"\n\r\t<]*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url1'];
$patterns[] = "#\[url\]((www|ftp)\.[^ \"\n\r\t<]*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url2'];
$patterns[] = "#\[url=([\w]+?://[^ \"\n\r\t<]*?)\](.*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url3'];
$patterns[] = "#\[url=((www|ftp)\.[^ \"\n\r\t<]*?)\](.*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url4'];
Zamień na:
$patterns[] = "#\[url\]([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url1'];
$patterns[] = "#\[url\]((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url2'];
$patterns[] = "#\[url=([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*?)\]([^?\n\r\t].*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url3'];
$patterns[] = "#\[url=((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*?)\]([^?\n\r\t].*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url4'];
Znajdź:
$red_links = ($ref) ? 'redirect.php?adr=' : '';
$ret = preg_replace("#(^|[\n ])([\w]+?://[^ \"\n\r\t<]*)#is", "\\1<a href=\"" . str_replace('&', '&', $red_links) . "\\2\" target=\"_blank\">\\2</a>", $ret);
$ret = preg_replace("#(^|[\n ])((www|ftp)\.[^ \"\t\n\r<]*)#is", "\\1<a href=\"" . str_replace('&', '&', $red_links) . "http://\\2\" target=\"_blank\">\\2</a>", $ret);
$ret = preg_replace("#(^|[\n ])([a-z0-9&\-_.]+?)@([\w\-]+\.([\w\-\.]+\.)*[\w]+)#i", "\\1<a href=\"mailto:\\2@\\3\">\\2@\\3</a>", $ret);
$ret = preg_replace("#([\n ])(ed2k://\|file\|(.*)\|\d+\|\w+\|/?)#", "\\1<a href=\"" . str_replace('&', '&', $red_links) . "\\2\">\\3</a>", $ret);
$ret = preg_replace("#([\n ])(ed2k:(//)?\|server\|([\d\.]+)\|(\d+)\|/?)#", "\\1<a href=\"" . str_replace('&', '&', $red_links) . "\\2\">\\4 at \\5 </a>", $ret);
Zamień na:
$ret = preg_replace("#(^|[\n ])([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*)#is", "\\1<a href=\"\\2\" target=\"_blank\">\\2</a>", $ret);
$ret = preg_replace("#(^|[\n ])((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*)#is", "\\1<a href=\"http://\\2\" target=\"_blank\">\\2</a>", $ret);
$ret = preg_replace("#(^|[\n ])([a-z0-9&\-_.]+?)@([\w\-]+\.([\w\-\.]+\.)*[\w]+)#i", "\\1<a href=\"mailto:\\2@\\3\">\\2@\\3</a>", $ret);
//$ret = preg_replace("#([\n ])(ed2k://\|file\|(.*)\|\d+\|\w+\|/?)#", "\\1<a href=\"" . str_replace('&', '&', $red_links) . "\\2\">\\3</a>", $ret);
//$ret = preg_replace("#([\n ])(ed2k:(//)?\|server\|([\d\.]+)\|(\d+)\|/?)#", "\\1<a href=\"" . str_replace('&', '&', $red_links) . "\\2\">\\4 at \\5 </a>", $ret);
Zapisz i zamknij |
Równolegle phpBB Group ogłosiło, że nawiązali współpracę z fachowcami w dziedzinie zabezpieczeń i wspólnie rozpoczynają projekt mający na celu poprawienie bezpieczeństwa phpBB
Zapewne jest to spowodowane dziwną reakcją ludzi na ostatnie błędy jakie odkryto w phpBB, postawa jest taka, jakby każde oprogramowanie wkoło było bezpieczne a phpBB dziurawe  Niektórzy amatorzy taniej sensacji jak np webinside piszą, że phpBB ma coraz więcej błędów  Co oczywiście jest totalną bzdurą, gdyż wraz z odkryciem kolejnej dziury phpBB staje sie bezpieczniejsze. Dużą ilość odkrywanych dziur zawdzięcza swojej ogromnej popularności.
Reasumując phpBB mimo wszystko w dalszym ciągu jest najlepszym i najbezpieczniejszym darmowym skryptem forum dyskusyjnego, jest cały czas kontynuowane i cały czas będzie darmowe. Przy korzystaniu z każdego orogramowania OpenSource (Dostępne źródła kodu) należy na bieżąco je aktualizować, tak samo jest w przypadku phpBB. Gdy tego dopilnujemy nasze forum będzie bezpieczne.
Przy okazji chciałbym poinformować, że prace nad wersją 1.9.6 idą bardzo powoli, lecz niebawem wyjdzie wersja 1.9.6 |
| Ostatnio zmieniony przez Widmo 25-11-2005, 22:09, w całości zmieniany 1 raz |
|
 |
|
 |
Gadatliwa Kasia 
|
|
|
|
|
BlueMan
Pomógł: 8 razy
Posty: 377
|
| Wysłany: 20-07-2005, 07:01
|
|
|
Czasami mam wrażenie, że ludzie, co pisza, żę phpbb jest be, fe, niedobre, ponieważ ma pełno dziur są 12 latkami !!
Nie wiedzią, że jest zależność od popularności danego oprogramowania i od tego, że ludzie szukają w nim dziur  |
_________________
phpBB4 od drugiej strony  |
|
 |
|
|
NetJaroPL
Pomógł: 7 razy
Posty: 250
|
| Wysłany: 20-07-2005, 08:18
|
|
|
Mnie jedno wkurza..., że co kilka dni (3-4) wychodzi nowa wersja phpBB  
[ Dodano: 20-07-2005, 08:22 ]
| Przemo napisał/a: | | Przy okazji chciałbym poinformować, że prace nad wersją 1.9.6 idą bardzo powoli, lecz niebawem wyjdzie wersja 1.9.6 |
Przemo, może warto skończyć wersję do końca (poprawić błędy, np. user z nickiem, który ma mniej niż 3 znaki, nie może patrzeć na swoje posty). Sądze, że większość woli poczekać na doskonałą wersję 1.9.6 niż żeby co kilka dni aktualizować |
_________________
Nie dyskutuj z debilem! Najpierw sprowadzi Cię do swojego poziomu, a potem pokona doświadczeniem. |
|
|
|
|
|
nokio
Posty: 1
|
| Wysłany: 20-07-2005, 08:32
|
|
|
Po zastosowaniu tej aktualizacji wyświetlanie linków w bbcode nie działa  |
|
|
|
|
|
Paszczak000
Pomógł: 317 razy
Posty: 2898
|
| Wysłany: 20-07-2005, 08:41
|
|
|
| nokio, musiałeś więc coś zrobić źle. Sprawdziałem aktualizajcę przez nadpisanie i ręczną zamianę i wsio działa. |
|
|
|
|
|
CyberTommy
Posty: 9
|
| Wysłany: 20-07-2005, 09:10
|
|
|
| Własnie teraz zaktualizowałem i wszystko działa, polecem ściągnać plik a nie pisać ręcznie |
|
|
|
|
|
irekk
Pomógł: 283 razy
Posty: 2927
|
| Wysłany: 20-07-2005, 09:16
|
|
|
CyberTommy, newbie
wszystko dziala tak jak powinno |
_________________
Cygantura |
|
|
|
|
|
daroo
Pomógł: 28 razy
Posty: 341
|
| Wysłany: 20-07-2005, 09:19
|
|
|
Czy trzeba w check_data.php zmienić na to:
| Cytat: | $md5_sum['includes/bbcode.'.$phpEx] = '0c1931003f1c984286f6e65352d0c759';
$sizes['includes/bbcode.'.$phpEx] = '19683'; |
Bo zmieniłem i pokazuje ze wszystkie pliki są złe!! |
|
|
|
|
|
Paszczak000
Pomógł: 317 razy
Posty: 2898
|
| Wysłany: 20-07-2005, 09:25
|
|
|
daroo, nie :]
Znajdź w tym pliku:
| Kod: | | $md5_sum['includes/bbcode.'.$phpEx] |
i jako sumę kontrolą która tam jest wpisz:
| Kod: | | 0c1931003f1c984286f6e65352d0c759 |
Natomiast to:
| Kod: | | $sizes['includes/bbcode.'.$phpEx] = '19683'; |
jest do tego jakbyś ręcznie robił update.
http://www.przemo.org/php...pic.php?t=11078 |
|
|
|
|
|
ORI
Pomógł: 72 razy
Posty: 956
|
| Wysłany: 20-07-2005, 09:26
|
|
|
| daroo, trzeba podmienic odpowiednie linie po prostu. Ups posty w tym samym czasie... |
|
|
|
|
|
piterownik
Posty: 83
|
| Wysłany: 20-07-2005, 09:32
|
|
|
| mmmm, kolejna łata. Jeśli moge pytać jakie nowosci będą w 1.9.6 (Oprócz łatek) ?? |
|
|
|
|
|
mdz000
Posty: 69
|
| Wysłany: 20-07-2005, 11:36
|
|
|
| NetJaroPL napisał/a: | | że co kilka dni (3-4) wychodzi nowa wersja phpBB Sad Neutral |
Bez przesady. Aż tak często to nie. Co miesięc się ukazują (albo pół) |
|
|
|
|
|
fajaonemaster
Posty: 1
|
| Wysłany: 20-07-2005, 13:34
|
|
|
heh a mi po wgraniu tego pliczku wyrabalo sie cos
Fatal error: Cannot use string offset as an array in /www_domains/d/darmoland.pl/fajaonemaster/phpbb2/includes/auth.php on line 271
kij wie o co chodzi :*( |
|
|
|
|
|
Paszczak000
Pomógł: 317 razy
Posty: 2898
|
| Wysłany: 20-07-2005, 14:58
|
|
|
| Zaktualizuj do 1.9.5 a potem wgraj ten pliczek |
|
|
|
|
|
Gadatliwa Kasia
|
|
|
|
|
Hlopcyk
Pomógł: 130 razy
Posty: 795
|
| Wysłany: 20-07-2005, 15:59
|
|
|
| Przemo napisał/a: | | Przy okazji chciałbym poinformować, że prace nad wersją 1.9.6 idą bardzo powoli, lecz niebawem wyjdzie wersja 1.9.6 |
Chyba napisał Przemo w pierwszym poście...  |
|
|
|
|
|
|
|
Nie możesz pisać nowych tematów
Możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Nie możesz ściągać załączników na tym forum
|
Dodaj temat do Ulubionych
Wersja do druku
|
Kopiowanie wszelkich treści zawartych na forum, modyfikacji oraz instrukcji bez zgody administracji i autorów tematów/postów zabronione!
Powered by phpBB modified by Przemo © 2003 phpBB
| | Strona wygenerowana w 0,11 sekundy. Zapytań do SQL: 14 |
|
 |
|
FAQ - PIERWSZA POMOC!!
REGULAMIN
SZUKAJ
Użytkownicy
Grupy
Statystyki
Rejestracja
Zaloguj
Download
Katalog Forów
