1

Тема: Версия 1.2.15

Не дождались 1.3, выпустили 1.2.15. Теперь все хозяева собственных сборок будут рвать на себе волосы.

Как пишет Rickard, революционных улучшений нет. Поправлено несколько потенциальных уязвимостей и просто недоразумений. Тем не менее, изменились почти все файлы, включая шаблоны *.tpl. Разработчики рекомендуют воспользоваться каким-нибудь патчером. Полный архив и патч доступны для скачивания.

Привожу описание изменений как есть:

*  Beefed up the referrer check in admin/options.
*  Fixed a bunch of path disclosures.
*  Fixed possible e-mail reset annoyance.
*  Fixed XSS vulnerability involving HTTP_REFERER when sending form e-mail.
*  Moved template tag replacement of pun_include to the top of all
   replacements to prevent exploitation via XSS vulnerabilities. On top of
   this, all included files must have one of the file extensions .php, .php4,
   .php5, .inc, .html, .htm or .txt.
*  Made sure the profile field URL actually starts with "http://".
*  Fixed XSS vulnerability when deleting a category (admin only).
*  Fixed unregister_globals() not being called when ini_get() fails due to
   being disabled in php.ini.
*  Added missing xmlns attribute to html tag in several files.
*  Stricter permission checks for moderate.php.
*  Fixed two PostgreSQL bugs.
*  Fixed topics appearing multiple times in certain searches.
*  Fixed "Mark topics as read" failing after timeout.
*  Fixed users appearing multiple times in the online list.
*  Fixed disabling "Search All Forums" not actually removing the ability to
   search all forums.
*  Fixed non-integer timezones being truncated (e.g. +3.5 -> +3) when
   registering.
*  Optimized a query in search.
*  Fixed online indicator not displaying properly in IE7.

вот hdiff изменений

Качать с официального сайта http://punbb.org/downloads.php

выполню сложную работу, от $10/час - пишите в ЛС. рефссылка: VPS за $5/мес. бонус за регистрацию $10.

Сайт artoodetoo

Поделиться

2

Re: Версия 1.2.15

Да, изменения затронули 32 файла. Что радует, ни одно из них не пересекается с изменениями нашей сборки.

Захочешь — найдешь время, не захочешь — найдешь причину.

Поделиться

3

Re: Версия 1.2.15

Лишь бы punbb не прерватился в тяжелый phpbb и invision.
А то опять альтернативу искать не хотелось бы.
32 файла - это много как.

Вегетарианский форум на PunBB.

Сайт torg

Поделиться

4

Re: Версия 1.2.15

Ну файлов много, но изменений не очень. Например в шаблонах добавлено всего лишь

xmlns="http://www.w3.org/1999/xhtml"

Никакого утяжеления не наблюдается, движок становится безупречнее.
В частности решена проблема сдвоенных ников в списке он-лайн.

Захочешь — найдешь время, не захочешь — найдешь причину.

Поделиться

5

Re: Версия 1.2.15

ну чо делать.. пойду хдиффы качать. похоже сборку dexus'а теперь только я поддерживаю sad...
а пока серавно не до неё - 53-ю ревизию hcs перевожу.

[off] смотрите кстате - новый диз сделал к http://fouroom.ru - он на этой сборке щас пашет[/off]

Сайт niikto

Поделиться

6

Re: Версия 1.2.15

А если я пропатчу свой 1.2.14 с модами PMS,Polls,Modern BBcode то работоспособность не нарушится?

Поделиться

7

Re: Версия 1.2.15

мсотря как пропатчишь wink
но вообще - нет не нарушится

Сайт niikto

Поделиться

8

Re: Версия 1.2.15

Уже вышел Punbb 1.2.16
http://punbb.org/download/changelogs/1. … 1.2.16.txt
*  Fixed XSS vulnerability and potential HTTP response splitting
   vulnerability in redirect() method. Thanks Meik Sievertsen and
   kellanved!
*  Fixed CSRF vulnerability in profile. Thanks Dante90.
*  Modified topic/post counts for forums to include redirect topics.

Вегетарианский форум на PunBB.

Сайт torg

Поделиться

9

Re: Версия 1.2.15

torg пишет:

Уже вышел Punbb 1.2.16

torg, оперативненько! lol

PunBB.Ru ☭

Сайт nobody

Поделиться

10

Re: Версия 1.2.15

nobody
Не было прав запостить сабж, поэтому сюда написал. Во как английские слова идут smile
Написал сюда сообщение. Хорошо что punbb не так часто обновляется и без проблем.
Обновился седня на punbb 1.2.16, баги как всегда находятся по немногу. Не видел лучше форума всё ещё. Больше альтернативы пока не ищу.

Вегетарианский форум на PunBB.

Сайт torg

Поделиться

11

Re: Версия 1.2.15

Что то не пойму. punbb последней версии уже взломали?
http://forum.antichat.ru/thread59281.html

Вегетарианский форум на PunBB.

Сайт torg

Поделиться

12

Re: Версия 1.2.15

<= 1.2.16(moderate.php)

moderate.php?get_host=1.1.1.1<script>alert(1)</script>

Скрипт действительно выполняется.

Моя сборка FluxBB 1.5 * Parserus - BBCode parser

Поделиться

13

Re: Версия 1.2.15

необходимо найти и земенить

'/[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/'

на

'/^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$/'

только я не совсем понимаю как этим можно воспользоваться - просматриваются только IP с форума, а туда они заносятся из системных переменных.

http://trijin.ru/forum/viewforum.php?id=10 пол года в дауне - скоро вернется =)

Поделиться

14

Re: Версия 1.2.15

Вобщето можно тупо угнать куки админа

Захочешь — найдешь время, не захочешь — найдешь причину.

Поделиться

15

Re: Версия 1.2.15

Для этого надо IP подменить. А как это сделать?)

http://trijin.ru/forum/viewforum.php?id=10 пол года в дауне - скоро вернется =)

Поделиться

16

Re: Версия 1.2.15

щас начнется охота на админов smile прячсо!
тем, кому не все-равно - сделайте как trijin сказал. спасибо trijin !

выполню сложную работу, от $10/час - пишите в ЛС. рефссылка: VPS за $5/мес. бонус за регистрацию $10.

Сайт artoodetoo

Поделиться

17

Re: Версия 1.2.15

trijin пишет:

Для этого надо IP подменить. А как это сделать?)

Я ничо не скажу smile

Захочешь — найдешь время, не захочешь — найдешь причину.

Поделиться

18 (25.01.2008 03:26 отредактировано trijin)

Re: Версия 1.2.15

artoodetoo пишет:

щас начнется охота на админов smile прячсо!
тем, кому не все-равно - сделайте как trijin сказал. спасибо trijin !

Так дело в том что да, уязвимость есть. Но воспользоваться ею может либо тот кто сможет иначе инджектить js (что бы перевести на этот урл) либо сам админ вбивающий это ручками. потому как ссылки на moderate.php?get_host=1.1.1.1<script>alert(1)</script> генерятся самим форумом из IP пользователей которые берутся из серверных переменных. А если кто-то уж и может подменить серверные переменные, то эта уязвимость ему уже никчему smile

<!--  // убранно // -->

http://trijin.ru/forum/viewforum.php?id=10 пол года в дауне - скоро вернется =)

Поделиться

19

Re: Версия 1.2.15

а вот за пример как на№"%ть админа я тебе спасибо не скажу.

выполню сложную работу, от $10/час - пишите в ЛС. рефссылка: VPS за $5/мес. бонус за регистрацию $10.

Сайт artoodetoo

Поделиться

20

Re: Версия 1.2.15

trijin пишет:

необходимо найти и земенить

'/[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/'

на

'/^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$/'

только я не совсем понимаю как этим можно воспользоваться - просматриваются только IP с форума, а туда они заносятся из системных переменных.

Предлагаю это же сделать в admin_user.php.
Правда тут еще более параноидальные мысли, но все-таки проверку ip надо сделать правильно smile
В install.php, post.php, profile.php и register.php наверняка можно не менять, так как там идет проверка на содержание ip адреса в имени пользователя.

Моя сборка FluxBB 1.5 * Parserus - BBCode parser

Поделиться

21

Re: Версия 1.2.15

Вот что нашёл. Скептическое содержание.
http://www.opennet.ru/prog/info/3012.shtml

К сожалению, о безопасность разработчики не думают, практически каждый месяц находят серьезные проблемы.

Производительность хоть и выше, чем у таких форумов как phpBB, Invision Power Board и vBulletin, но на среднем уровне, т.е. при большом объеме сообщений в базе, как только таблицы перестанут влазить в кеш СУБД, следует ждать проблем. При большом трафике проблемы могут возникнуть из-за блокировок вследствие UPDATE запросов для обновления счетчика чтений. Средства кеширования отсутствуют. Желательно использовать PHP с модулями акселераторами eAccelerator или Alternative PHP Cache.

По этой http://forum.antichat.ru/thread59281.html проблеме надеюсь выйдет патч, то есть исправленный php код официально.

Вегетарианский форум на PunBB.

Сайт torg

Поделиться

22

Re: Версия 1.2.15

к сожалению moderate.php действительно дырявый sad

Сайт Slavik

Поделиться

23

Re: Версия 1.2.15

torg пишет:

Вот что нашёл. Скептическое содержание.
http://www.opennet.ru/prog/info/3012.shtml

К сожалению, о безопасность разработчики не думают, практически каждый месяц находят серьезные проблемы.

Если пойти дальше по ссылке из текста после этих слов, то можно заметить несоответствие фактов с заявлением "практически каждый месяц" -  в списке за 2007год аж 2 раза, хотя со слов анонимного автора должно быть около 12. Причем одна уязвимость не имеет отношения к ядру.

Захочешь — найдешь время, не захочешь — найдешь причину.

Поделиться

24

Re: Версия 1.2.15

torg пишет:

При большом трафике проблемы могут возникнуть из-за блокировок вследствие UPDATE запросов для обновления счетчика чтений. Средства кеширования отсутствуют.

Надо над этим подумать smile
Вчера от нечего делать решил уменьшить кол-во запросов к бд. Покалякал над index.php и убрал два SELECT запроса к базе, которые отвечают за кол-во пользователей на форуме и последнего зарегистрированного пользователя. Сделал их вывод через кэш-файл т.к. эти данные обновляются только при добавлении/удалении юзера.

Моя сборка FluxBB 1.5 * Parserus - BBCode parser

Поделиться

25

Re: Версия 1.2.15

Visman, Можно пойте еще дальше и на главной странице кэшировать список разделов, он обновляется очень нечасто.

При большом трафике проблемы могут возникнуть из-за блокировок вследствие UPDATE запросов

Чтобы уберечься от проблем следует использовать не myisam а innodb тип таблиц, либо выбрать postgre субд

Захочешь — найдешь время, не захочешь — найдешь причину.

Поделиться