phpBB2 by Przemo
Support forów phpBB2 modified by Przemo

FAQFAQ - PIERWSZA POMOC!!  regulaminREGULAMIN  SzukajSZUKAJ  UżytkownicyUżytkownicy  GrupyGrupy  StatystykiStatystyki
RejestracjaRejestracja  ZalogujZaloguj  DownloadDownload  katalog Forów DyskusyjnychKatalog Forów   FAQ Video tutoriale

Poprzedni temat «» Następny temat
Przesunięty przez: Widmo
21-03-2006, 23:03
[ UPDATE ] phpBB 2.0.17 aktualizacja zabezpieczeń !
Autor Wiadomość
Przemo



Pomógł: 210 razy
Posty: 3148
Wysłany: 20-07-2005, 01:29   [ UPDATE ] phpBB 2.0.17 aktualizacja zabezpieczeń !

Jak podaje phpBB Group (a w zasadzie potwierdza wcześniejsze ostrzeżenia z innych źródeł) światło dzienne ujrzała nowa niezbyt groźna dziura w systemie bbcode. Umożliwiała wstrzyknięcie XSS do kodu html strony.
W związku z tym wersja phpBB 2.0.17

Z powierzchownych obserwacji wynika, że ta dziura nie działała w mojej wersji, z uwagi na drobne zmiany w kodzie bbcode, które wprowadziłem, lecz mimo wszystko należy zaktualizowac forum (są to tylko powierzchowne obserwacje)

Użytkownicy mojej modyfikacji powinni ściągnąć plik bbcode.zip z załącznika, rozpakować i nadpisać do katalogu /includes/ w swoim forum.
Można dokonać zmian dla checkfiles w pliku check_data.php:
Kod:
$md5_sum['includes/bbcode.'.$phpEx] = '0c1931003f1c984286f6e65352d0c759';
$sizes['includes/bbcode.'.$phpEx] = '19683';


Powyższe zabezpieczenie zawiera główny pakiet na stronie głównej, oraz aktualizacja 1.9-1.9.4 oraz 1.9.4-1.9.5

Jeżeli ktoś modyfikował plik bbcode.php może skorzystać z poniższego kodu do ręcznej aktualizacji:
Kod:
Otwórz plik /includes/bbcode.php
Znajdź:

        $patterns[] = "#\[url\]([\w]+?://[^ \"\n\r\t<]*?)\[/url\]#is";
        $replacements[] = $bbcode_tpl['url1'];

        $patterns[] = "#\[url\]((www|ftp)\.[^ \"\n\r\t<]*?)\[/url\]#is";
        $replacements[] = $bbcode_tpl['url2'];

        $patterns[] = "#\[url=([\w]+?://[^ \"\n\r\t<]*?)\](.*?)\[/url\]#is";
        $replacements[] = $bbcode_tpl['url3'];

        $patterns[] = "#\[url=((www|ftp)\.[^ \"\n\r\t<]*?)\](.*?)\[/url\]#is";
        $replacements[] = $bbcode_tpl['url4'];

Zamień na:

        $patterns[] = "#\[url\]([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*?)\[/url\]#is";
        $replacements[] = $bbcode_tpl['url1'];

        $patterns[] = "#\[url\]((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*?)\[/url\]#is";
        $replacements[] = $bbcode_tpl['url2'];

        $patterns[] = "#\[url=([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*?)\]([^?\n\r\t].*?)\[/url\]#is";
        $replacements[] = $bbcode_tpl['url3'];

        $patterns[] = "#\[url=((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*?)\]([^?\n\r\t].*?)\[/url\]#is";
        $replacements[] = $bbcode_tpl['url4'];

Znajdź:

    $red_links = ($ref) ? 'redirect.php?adr=' : '';

    $ret = preg_replace("#(^|[\n ])([\w]+?://[^ \"\n\r\t<]*)#is", "\\1<a href=\"" . str_replace('&', '&', $red_links) . "\\2\" target=\"_blank\">\\2</a>", $ret);

    $ret = preg_replace("#(^|[\n ])((www|ftp)\.[^ \"\t\n\r<]*)#is", "\\1<a href=\"" . str_replace('&', '&', $red_links) . "http://\\2\" target=\"_blank\">\\2</a>", $ret);

    $ret = preg_replace("#(^|[\n ])([a-z0-9&\-_.]+?)@([\w\-]+\.([\w\-\.]+\.)*[\w]+)#i", "\\1<a href=\"mailto:\\2@\\3\">\\2@\\3</a>", $ret);

    $ret = preg_replace("#([\n ])(ed2k://\|file\|(.*)\|\d+\|\w+\|/?)#", "\\1<a href=\"" . str_replace('&', '&', $red_links) . "\\2\">\\3</a>", $ret);
    $ret = preg_replace("#([\n ])(ed2k:(//)?\|server\|([\d\.]+)\|(\d+)\|/?)#", "\\1<a href=\"" . str_replace('&', '&', $red_links) . "\\2\">\\4 at \\5 </a>", $ret);


Zamień na:

    $ret = preg_replace("#(^|[\n ])([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*)#is", "\\1<a href=\"\\2\" target=\"_blank\">\\2</a>", $ret);

    $ret = preg_replace("#(^|[\n ])((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*)#is", "\\1<a href=\"http://\\2\" target=\"_blank\">\\2</a>", $ret);

    $ret = preg_replace("#(^|[\n ])([a-z0-9&\-_.]+?)@([\w\-]+\.([\w\-\.]+\.)*[\w]+)#i", "\\1<a href=\"mailto:\\2@\\3\">\\2@\\3</a>", $ret);

    //$ret = preg_replace("#([\n ])(ed2k://\|file\|(.*)\|\d+\|\w+\|/?)#", "\\1<a href=\"" . str_replace('&', '&', $red_links) . "\\2\">\\3</a>", $ret);
    //$ret = preg_replace("#([\n ])(ed2k:(//)?\|server\|([\d\.]+)\|(\d+)\|/?)#", "\\1<a href=\"" . str_replace('&', '&', $red_links) . "\\2\">\\4 at \\5 </a>", $ret);

Zapisz i zamknij


Równolegle phpBB Group ogłosiło, że nawiązali współpracę z fachowcami w dziedzinie zabezpieczeń i wspólnie rozpoczynają projekt mający na celu poprawienie bezpieczeństwa phpBB

Zapewne jest to spowodowane dziwną reakcją ludzi na ostatnie błędy jakie odkryto w phpBB, postawa jest taka, jakby każde oprogramowanie wkoło było bezpieczne a phpBB dziurawe :) Niektórzy amatorzy taniej sensacji jak np webinside piszą, że phpBB ma coraz więcej błędów :D Co oczywiście jest totalną bzdurą, gdyż wraz z odkryciem kolejnej dziury phpBB staje sie bezpieczniejsze. Dużą ilość odkrywanych dziur zawdzięcza swojej ogromnej popularności.

Reasumując phpBB mimo wszystko w dalszym ciągu jest najlepszym i najbezpieczniejszym darmowym skryptem forum dyskusyjnego, jest cały czas kontynuowane i cały czas będzie darmowe. Przy korzystaniu z każdego orogramowania OpenSource (Dostępne źródła kodu) należy na bieżąco je aktualizować, tak samo jest w przypadku phpBB. Gdy tego dopilnujemy nasze forum będzie bezpieczne.


Przy okazji chciałbym poinformować, że prace nad wersją 1.9.6 idą bardzo powoli, lecz niebawem wyjdzie wersja 1.9.6 :)
Ostatnio zmieniony przez Widmo 25-11-2005, 22:09, w całości zmieniany 1 raz  
 
     
Gadatliwa Kasia 

   
BlueMan


Pomógł: 8 razy
Posty: 377
Wysłany: 20-07-2005, 06:01   

Czasami mam wrażenie, że ludzie, co pisza, żę phpbb jest be, fe, niedobre, ponieważ ma pełno dziur są 12 latkami !!

Nie wiedzią, że jest zależność od popularności danego oprogramowania i od tego, że ludzie szukają w nim dziur :?:
_________________
phpBB4 od drugiej strony :P
 
     
NetJaroPL

Pomógł: 7 razy
Posty: 250
Wysłany: 20-07-2005, 07:18   

Mnie jedno wkurza..., że co kilka dni (3-4) wychodzi nowa wersja phpBB :( :|

[ Dodano: 20-07-2005, 08:22 ]
Przemo napisał/a:
Przy okazji chciałbym poinformować, że prace nad wersją 1.9.6 idą bardzo powoli, lecz niebawem wyjdzie wersja 1.9.6

Przemo, może warto skończyć wersję do końca (poprawić błędy, np. user z nickiem, który ma mniej niż 3 znaki, nie może patrzeć na swoje posty). Sądze, że większość woli poczekać na doskonałą wersję 1.9.6 niż żeby co kilka dni aktualizować :)
_________________
Nie dyskutuj z debilem! Najpierw sprowadzi Cię do swojego poziomu, a potem pokona doświadczeniem.
 
     
nokio

Posty: 1
Wysłany: 20-07-2005, 07:32   

Po zastosowaniu tej aktualizacji wyświetlanie linków w bbcode nie działa ;)
 
     
Paszczak000


Pomógł: 317 razy
Posty: 2898
Wysłany: 20-07-2005, 07:41   

nokio, musiałeś więc coś zrobić źle. Sprawdziałem aktualizajcę przez nadpisanie i ręczną zamianę i wsio działa.
 
     
CyberTommy


Posty: 9
Wysłany: 20-07-2005, 08:10   

Własnie teraz zaktualizowałem i wszystko działa, polecem ściągnać plik a nie pisać ręcznie :wink:
 
     
irekk


Pomógł: 283 razy
Posty: 2927
Wysłany: 20-07-2005, 08:16   

CyberTommy, newbie ;)
wszystko dziala tak jak powinno :wink:
_________________
Cygantura
 
     
daroo

Pomógł: 28 razy
Posty: 341
Wysłany: 20-07-2005, 08:19   

Czy trzeba w check_data.php zmienić na to:
Cytat:
$md5_sum['includes/bbcode.'.$phpEx] = '0c1931003f1c984286f6e65352d0c759';
$sizes['includes/bbcode.'.$phpEx] = '19683';

Bo zmieniłem i pokazuje ze wszystkie pliki są złe!!
 
     
Paszczak000


Pomógł: 317 razy
Posty: 2898
Wysłany: 20-07-2005, 08:25   

daroo, nie :]
Znajdź w tym pliku:
Kod:
$md5_sum['includes/bbcode.'.$phpEx]

i jako sumę kontrolą która tam jest wpisz:
Kod:
0c1931003f1c984286f6e65352d0c759

Natomiast to:
Kod:
$sizes['includes/bbcode.'.$phpEx] = '19683';

jest do tego jakbyś ręcznie robił update.
http://www.przemo.org/php...pic.php?t=11078
 
     
ORI



Pomógł: 72 razy
Posty: 956
Wysłany: 20-07-2005, 08:26   

daroo, trzeba podmienic odpowiednie linie po prostu. Ups posty w tym samym czasie...
 
     
piterownik


Posty: 83
Wysłany: 20-07-2005, 08:32   

mmmm, kolejna łata. Jeśli moge pytać jakie nowosci będą w 1.9.6 (Oprócz łatek) ??
 
     
mdz000

Posty: 69
Wysłany: 20-07-2005, 10:36   

NetJaroPL napisał/a:
że co kilka dni (3-4) wychodzi nowa wersja phpBB Sad Neutral

Bez przesady. Aż tak często to nie. Co miesięc się ukazują (albo pół)
 
     
fajaonemaster

Posty: 1
Wysłany: 20-07-2005, 12:34   

heh a mi po wgraniu tego pliczku wyrabalo sie cos


Fatal error: Cannot use string offset as an array in /www_domains/d/darmoland.pl/fajaonemaster/phpbb2/includes/auth.php on line 271


kij wie o co chodzi :*(
 
     
Paszczak000


Pomógł: 317 razy
Posty: 2898
Wysłany: 20-07-2005, 13:58   

Zaktualizuj do 1.9.5 a potem wgraj ten pliczek
 
     
Gadatliwa Kasia 

   
Hlopcyk


Pomógł: 130 razy
Posty: 795
Wysłany: 20-07-2005, 14:59   

Przemo napisał/a:
Przy okazji chciałbym poinformować, że prace nad wersją 1.9.6 idą bardzo powoli, lecz niebawem wyjdzie wersja 1.9.6

Chyba napisał Przemo w pierwszym poście... :? :|
 
     
Wyświetl posty z ostatnich:   
Ten temat jest zablokowany bez możliwości zmiany postów lub pisania odpowiedzi
Nie możesz pisać nowych tematów
Możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Nie możesz ściągać załączników na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Kopiowanie wszelkich treści zawartych na forum, modyfikacji oraz instrukcji bez zgody administracji i autorów tematów/postów zabronione!

Powered by phpBB modified by Przemo © 2003 phpBB
Strona wygenerowana w 0,17 sekundy. Zapytań do SQL: 13
Polecane serwisy

Najlepsze oprogramowanie do prowadzenia sklepu internetowegoNajlepszy program do sklepu firmowany przez Przem'a

Sklep z gadżetami

Design Cart - Tworzenie sklepu internetowego

iRonin.IT

• Zamów reklamę