FAQ  •  Поиск  •  Документация  •  Downloads  •  Регистрация  •  Вход
   

   

   Портал

Навигация
 Навигация
Портал Портал
Форум Форум
 Новости
Категории Категории
Архив Архив
 Downloads
Последние Последние
Поиск Поиск
Десятка лучших Десятка лучших
 Сервис
paFileDB Web Publishing Wizard Client Web Publishing Wizard
Lite Version Lite Version

 • Christmas Two
 • FI Black
 • FI Black 3D
 • FI Black 3D Blue
 • FI Blue 3D
 • FI MS Orange
 • FI MS Orange Gray
 • FI Subgrey
 • FI Subice
 • FI Subsilver Shadow
 • RT Gold
 • RT Red
 • Solaris
 • subSilver

[Eщё 147 стиля]

Демонстрация Beta-версий Beta 7 Live demo
Руководство пользователя Документация
 Эбаут
FAQ FAQ
Пользователи Пользователи

RSS ленты
Обновления новостей портала в формате RSS
Обновления форумов в формате RSS
[Valid RSS]

Последние темы
» Мод ...
» Как сделдать, чотбы ...
» Ошибка в начале установки
» Не создаются сообщения ...
» Lytebox Lightbox или ...
» Мод ограничения размера ...
» Не понятно
» отображение скриншотов тем
» SECURITY ALERT » » » »
» Проблемы с кодировкой
» 2 раза в день падает cache
» Bit Torrents MOD
» Не пускает ...
» Проблема в 1.53а с ...
» phpBB2 Plus 1.53a ...

Последние файлы
» phpBB2 Plus 1.53a is a ...
» phpBB2 Plus 1.53a Core ...
» phpBB2 Plus 1.53a ...
» Тема mystiquetulip для ...
» Search Engine Indexer
» Русский перевод phpBB2 ...
» Code changes
» Full package
» Send Email - Updated ...
» Change Email Sender MOD
» Smiley Categories MOD
» Тема Army для phpBB2 ...
» Тема Army2 для phpBB2 ...
» mod_rewrite MOD
» Патч phpBB 2.0.18 - ...

Быстрый поиск


Яndex

www.yandex.ru

[ Расширенный поиск ]
phpbb2.ru

  phpBB2 Plus 1.53 Beta 7 Распечатать эту тему Отправить по EMail
07-26-2005 03:27:47 pm
Объявления phpBB2 Plus 1.5x
phpBB2 Plus 1.53 Beta 7 released

В новой версии :
  • Обновлено ядро до phpBB 2.0.17;
  • Обновлён Attachment MOD до 2.3.14;
  • Некоторые оптимизационные изменения кода;
  • Исправлены ошибки в немецком lang_admin.php;
  • Добавлен модуль Cracker Tracker Professional;
Для обновления с предыдущей Beta-версии необходимо заменить все файлы на сервере файлами из архива обновления и запустить апдейтер базы данных

* update_153beta6_to_beta7.php ;

Если обновление происходит с версии 1.52 необходимо запустить патч для private Album Galleries. Необходимо скопировать в корневую директорию форума и запустить из браузера файл

* hierarchy_db_migrate.php ;

Затем необходимо удалить содержимое папки cache (необходимо оставить файлы .htaccess и index.htm)

Очень важно, также, выставить атрибуты в 777 для следующих файлов:

* ctracker/counter.txt
* ctracker/engine/cachelist.php
* ctracker/engine/definitions.php
* ctracker/logfiles/logfile_injects.txt
* ctracker/logfiles/logfile_login.txt


  • Содержит полный пакет phpBB2 Plus 1.53 Beta 7 с оригинальным языковым пакетом
    [Скачать]


  • Только изменённые файлы
    [Скачать]



Успешного тестирования!





  phpBB 2.0.17 Распечатать эту тему Отправить по EMail
07-21-2005 02:51:29 am
Новости портала phpbb2.ru
Новая версия phpBB 2.0.17 доступна для скачивания


В основном, выход релиза связан с исправлением XSS уязвимостей, выявленными совсем недавно. О них упоминалось раньше.

Изменения, вошедшие в последний релиз:
  • Улучшенная проверка в коде удаления сообщений в privmsg.php (сообщил party_fan);
  • Исправлена XSS уязвимость тега [url] BBCode, касающаяся браузера Internet Explorer;
  • Исправлена ошибка активации пользователей (сообщил ieure);
  • Исправлена ошибка из-за которой в get_username возвращался неверный ряд, если имя пользователя начиналось с цифр (сообщил Ptirhiik);
  • Теперь имя пользователя (username) обрабатывается функцией phpbb_clean_username (AnthraX101);
  • Исправлена ошибка в функции message_die();
  • Исправлена некорректная генерация {postrow.SEARCH_IMG} тега в viewtopic.php (сообщил Double_J);
  • Исправлена ошибка в usercp_viewprofile.php;
  • Исправлена ошибка с user_level для групп с правами модератора (сообщил halochat);
  • Формирование списка форумов в admin_ug_auth.php теперь такое же, как и на других страницах;
  • Корректное имя пользователя при удалении в администрационной панели;

Долгожданный фикс уязвимости тега [url], срабатывающая в браузерах Internet Explorer выглядит так:

Код:
#
# ---[ OPEN ]---
#

includes/bbcode.php

#
# ---[ FIND ]---
#

   $patterns[] = "#\[url\]([\w]+?://[^ \"\n\r\t<]*?)\[/url\]#is";
   $replacements[] = $bbcode_tpl['url1'];

   // [url]www.phpbb.com[/url] code.. (no xxxx:// prefix).
   $patterns[] = "#\[url\]((www|ftp)\.[^ \"\n\r\t<]*?)\[/url\]#is";
   $replacements[] = $bbcode_tpl['url2'];

   // [url=xxxx://www.phpbb.com]phpBB[/url] code..
   $patterns[] = "#\[url=([\w]+?://[^ \"\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is";
   $replacements[] = $bbcode_tpl['url3'];

   // [url=www.phpbb.com]phpBB[/url] code.. (no xxxx:// prefix).
   $patterns[] = "#\[url=((www|ftp)\.[^ \"\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is";

#
# ---[ REPLACE WITH ]---
#

   $patterns[] = "#\[url\]([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*?)\[/url\]#is";
   $replacements[] = $bbcode_tpl['url1'];

   // [url]www.phpbb.com[/url] code.. (no xxxx:// prefix).
   $patterns[] = "#\[url\]((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*?)\[/url\]#is";
   $replacements[] = $bbcode_tpl['url2'];

   // [url=xxxx://www.phpbb.com]phpBB[/url] code..
   $patterns[] = "#\[url=([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*?)\]([^?\n\r\t].*?)\[/url\]#is";
   $replacements[] = $bbcode_tpl['url3'];

   // [url=www.phpbb.com]phpBB[/url] code.. (no xxxx:// prefix).
   $patterns[] = "#\[url=((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*?)\]([^?\n\r\t].*?)\[/url\]#is";

#
# ---[ FIND ]---
#

   $ret = preg_replace("#(^|[\n ])([\w]+?://[^ \"\n\r\t<]*)#is", "\\1<a href=\"\\2\" target=\"_blank\">\\2</a>", $ret);

   // matches a "www|ftp.xxxx.yyyy[/zzzz]" kinda lazy URL thing
   // Must contain at least 2 dots. xxxx contains either alphanum, or "-"
   // zzzz is optional.. will contain everything up to the first space, newline,
   // comma, double quote or <.
   $ret = preg_replace("#(^|[\n ])((www|ftp)\.[^ \"\t\n\r<]*)#is", "\\1<a href=\"http://\\2\" target=\"_blank\">\\2</a>", $ret);

#
# ---[ REPLACE WITH ]---
#

   $ret = preg_replace("#(^|[\n ])([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*)#is", "\\1<a href=\"\\2\" target=\"_blank\">\\2</a>", $ret);

   // matches a "www|ftp.xxxx.yyyy[/zzzz]" kinda lazy URL thing
   // Must contain at least 2 dots. xxxx contains either alphanum, or "-"
   // zzzz is optional.. will contain everything up to the first space, newline,
   // comma, double quote or <.
   $ret = preg_replace("#(^|[\n ])((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*)#is", "\\1<a href=\"http://\\2\" target=\"_blank\">\\2</a>", $ret);

Используйте именно это исправление взамен предложенному ранее.


  • Изменения в виде MODa, очень удобно для тех, у кого форум весьма модифицирован.
    После выполнения всех действий - не забывайте, пожалуйста, скопировать файл install/update_to_latest.php на сервер и выполнить его из браузера.
    [Скачать]


  • Содержит полный пакет phpBB2 с оригинальным языковым пакетом
    [Скачать]


  • Только изменённые файлы
    [Скачать]

  • Patch-совместимые файлы
    [Скачать]



  XSS уязвимость в форуме phpBB 2.0.16 и предыдущих версиях. Распечатать эту тему Отправить по EMail
07-09-2005 09:26:54 pm
Уязвимости phpBB2 Plus
Обнаружена опасная уязвимость в коде phpBB 2.0.16


На этот раз брешь заключается в неправильной обработке входящих данных при постинге тега [url]. Особенность уязвимости заключается в том, что она работает только, если жертва использует в качестве браузера Internet Explorer. Дело в том, что символы ` и ' интерпретируются этим обозревателем как эквиваленты.

На данный момент официальный phpBB [Group] не предлагает каких-либо заплаток и решений по этому поводу. Однако, возможность исправить ошибку есть. Важно! Это решение предлагается как временное, перед исправлением необходимо сохранить оригинальный файл, чтобы в дальнейшем, когда будет официальная версия решения этой проблемы - можно было сделать откат.

Итак,


PHP:
<?php 
#-----[ OPEN ]------------------------------------------ 


includes/bbcode.php 


#-----[ FIND ]------------------------------------------ 

    // matches a xxxx://www.phpbb.com code.. 
    
$patterns[] = "#\[url\]([\w]+?://[^ \"\n\r\t<]*?)\[/url\]#is"
    
$replacements[] = $bbcode_tpl['url1']; 

    
// www.phpbb.com code.. (no xxxx:// prefix). 
    
$patterns[] = "#\[url\]((www|ftp)\.[^ \"\n\r\t<]*?)\[/url\]#is"
    
$replacements[] = $bbcode_tpl['url2']; 

    
// phpBB code.. 
    
$patterns[] = "#\[url=([\w]+?://[^ \"\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is"
    
$replacements[] = $bbcode_tpl['url3']; 

    
// code.. (no xxxx:// prefix). 
    
$patterns[] = "#\[url=((www|ftp)\.[^ \"\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is"
    
$replacements[] = $bbcode_tpl['url4']; 
     


#-----[ REPLACE WITH ]------------------------------------------ 

    // matches a xxxx://www.phpbb.com code.. 
    
$patterns[] = "#\[url\]([\w]+?://[^ '`\"\n\r\t<]*?)\[/url\]#is"
    
$replacements[] = $bbcode_tpl['url1']; 

    
// www.phpbb.com code.. (no xxxx:// prefix). 
$patterns[] = "#\[url\]((www|ftp)\.(?![^ '`\"\n\r\t<]*?\[url)[^ \"\n\r\t<]*?)\[/url\]#is"
    
$replacements[] = $bbcode_tpl['url2']; 

    
// phpBB code.. 
    
$patterns[] = "#\[url=([\w]+?://[^ '`\"\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is"
    
$replacements[] = $bbcode_tpl['url3']; 

    
// code.. (no xxxx:// prefix). 
    
$patterns[] = "#\[url=((www|ftp)\.[^ '`\"\n\r\t<]*?)\]([^?\n\r\t].*?)\[/url\]#is"
    
$replacements[] = $bbcode_tpl['url4']; 
         
         


#-----[ SAVE/CLOSE ALL FILES ]------------------------------------------ 

# EoM 


Update: выпущена официальная заплатка указанной проблемы. Используйте, пожалуйста, именно её.



Вход
Имя:

Пароль:

 Запомнить меня



Забыли пароль?

Статистика
Всего 777 зарегистрированных пользователей
Последний зарегистрированный пользователь: igordo1

Наши пользователи оставили 10006 сообщений.

Кто сейчас на форуме

Сейчас посетителей на форуме: 1, из них зарегистрированных: 0, скрытых: 0 и гостей: 1
Зарегистрированные пользователи: Нет

[Полный список]

Больше всего посетителей (186) здесь было Пт 26 Май, 2006 1:34 pm


Последний просмотр
Всего 276 пользователей посетили форумы сегодня :: зарегистрированных: 0, скрытых: 0 и гостей: 276, 44 из них посетили нас за последний час.

phpBB2 Plus [RENATA edition] © 2005 RENATA WEB SYSTEMS
Powered by phpBB2 Plus based on phpBB © 2005 phpBB Group



Эта страница создавалась: 0.3525 секунд(ы) (PHP: 83% - SQL: 17%) - SQL запросов: 29 - GZIP выключено