Версия 1.2.15 (Страница 1 из 2)

artoodetoo · 13.04.2007 00:17

artoodetoo
May The Force be with you!
Неактивен

Откуда: Россия
Регистрация: 30.10.2006
Сообщений: 1,220
Репутация : [1|0]

Тема: Версия 1.2.15

Не дождались 1.3, выпустили 1.2.15. Теперь все хозяева собственных сборок будут рвать на себе волосы.

Как пишет Rickard, революционных улучшений нет. Поправлено несколько потенциальных уязвимостей и просто недоразумений. Тем не менее, изменились почти все файлы, включая шаблоны *.tpl. Разработчики рекомендуют воспользоваться каким-нибудь патчером. Полный архив и патч доступны для скачивания.

Привожу описание изменений как есть:

*  Beefed up the referrer check in admin/options.
*  Fixed a bunch of path disclosures.
*  Fixed possible e-mail reset annoyance.
*  Fixed XSS vulnerability involving HTTP_REFERER when sending form e-mail.
*  Moved template tag replacement of pun_include to the top of all
   replacements to prevent exploitation via XSS vulnerabilities. On top of
   this, all included files must have one of the file extensions .php, .php4,
   .php5, .inc, .html, .htm or .txt.
*  Made sure the profile field URL actually starts with "http://".
*  Fixed XSS vulnerability when deleting a category (admin only).
*  Fixed unregister_globals() not being called when ini_get() fails due to
   being disabled in php.ini.
*  Added missing xmlns attribute to html tag in several files.
*  Stricter permission checks for moderate.php.
*  Fixed two PostgreSQL bugs.
*  Fixed topics appearing multiple times in certain searches.
*  Fixed "Mark topics as read" failing after timeout.
*  Fixed users appearing multiple times in the online list.
*  Fixed disabling "Search All Forums" not actually removing the ability to
   search all forums.
*  Fixed non-integer timezones being truncated (e.g. +3.5 -> +3) when
   registering.
*  Optimized a query in search.
*  Fixed online indicator not displaying properly in IE7.

вот hdiff изменений

Качать с официального сайта punbb.org/downloads.php

Russian FluxBB | Elektra mods on PunRes

hcs · 13.04.2007 02:32

hcs
Заслуженный флудер
Неактивен

Откуда: СССР
Регистрация: 10.02.2006
Сообщений: 5,043
Репутация : [144|0]

Re: Версия 1.2.15

Да, изменения затронули 32 файла. Что радует, ни одно из них не пересекается с изменениями нашей сборки.

torg · 13.04.2007 04:31

torg
Опытный
Неактивен

Откуда: Тюмень
Регистрация: 12.04.2006
Сообщений: 232

Re: Версия 1.2.15

Лишь бы punbb не прерватился в тяжелый phpbb и invision.
А то опять альтернативу искать не хотелось бы.
32 файла - это много как.

Мой вегетарианский форум на PunBB.

hcs · 13.04.2007 04:35

hcs
Заслуженный флудер
Неактивен

Откуда: СССР
Регистрация: 10.02.2006
Сообщений: 5,043
Репутация : [144|0]

Re: Версия 1.2.15

Ну файлов много, но изменений не очень. Например в шаблонах добавлено всего лишь

xmlns="http://www.w3.org/1999/xhtml"

Никакого утяжеления не наблюдается, движок становится безупречнее.
В частности решена проблема сдвоенных ников в списке он-лайн.

niikto · 22.04.2007 13:43

niikto
Гуру
Неактивен

Откуда: Омск, Россия
Регистрация: 07.03.2007
Сообщений: 606
Репутация : [0|0]

Re: Версия 1.2.15

ну чо делать.. пойду хдиффы качать. похоже сборку dexus'а теперь только я поддерживаю ...
а пока серавно не до неё - 53-ю ревизию hcs перевожу.

[off] смотрите кстате - новый диз сделал к fouroom.ru - он на этой сборке щас пашет[/off]

русификатор punBB: сборка hcs и русская админка punbb, сборка Dexus, PunDokuWiki
сборка PE006 - сайт на PunBB
отлаженная сборка hcs+EFU

Fili · 12.05.2007 05:30

Fili
Новичок
Неактивен

Регистрация: 07.01.2007
Сообщений: 3
Репутация : [0|0]

Re: Версия 1.2.15

А если я пропатчу свой 1.2.14 с модами PMS,Polls,Modern BBcode то работоспособность не нарушится?

niikto · 12.05.2007 18:55

niikto
Гуру
Неактивен

Откуда: Омск, Россия
Регистрация: 07.03.2007
Сообщений: 606
Репутация : [0|0]

Re: Версия 1.2.15

мсотря как пропатчишь
но вообще - нет не нарушится

русификатор punBB: сборка hcs и русская админка punbb, сборка Dexus, PunDokuWiki
сборка PE006 - сайт на PunBB
отлаженная сборка hcs+EFU

torg · 16.01.2008 11:29

torg
Опытный
Неактивен

Откуда: Тюмень
Регистрация: 12.04.2006
Сообщений: 232

Re: Версия 1.2.15

Уже вышел Punbb 1.2.16
punbb.org/download/changelogs/1. … 1.2.16.txt
* Fixed XSS vulnerability and potential HTTP response splitting
vulnerability in redirect() method. Thanks Meik Sievertsen and
kellanved!
* Fixed CSRF vulnerability in profile. Thanks Dante90.
* Modified topic/post counts for forums to include redirect topics.

Мой вегетарианский форум на PunBB.

nobody · 16.01.2008 11:46

nobody
I ❤ PunBB
Неактивен

Откуда: Москва
Регистрация: 12.07.2006
Сообщений: 747
Репутация : [11|0]

Re: Версия 1.2.15

torg пишет:

Уже вышел Punbb 1.2.16

torg, оперативненько!

PunBB.Ru ☭

torg · 16.01.2008 13:10

torg
Опытный
Неактивен

Откуда: Тюмень
Регистрация: 12.04.2006
Сообщений: 232

Re: Версия 1.2.15

nobody
Не было прав запостить сабж, поэтому сюда написал. Во как английские слова идут
Написал сюда сообщение. Хорошо что punbb не так часто обновляется и без проблем.
Обновился седня на punbb 1.2.16, баги как всегда находятся по немногу. Не видел лучше форума всё ещё. Больше альтернативы пока не ищу.

Мой вегетарианский форум на PunBB.

torg · 24.01.2008 14:04

torg
Опытный
Неактивен

Откуда: Тюмень
Регистрация: 12.04.2006
Сообщений: 232

Re: Версия 1.2.15

Что то не пойму. punbb последней версии уже взломали?
forum.antichat.ru/thread59281.html

Мой вегетарианский форум на PunBB.

Visman · 24.01.2008 17:29

Visman
Гуру
Неактивен

Откуда: Енисей батюшка
Регистрация: 01.01.2008
Сообщений: 583
Репутация : [4|0]

Re: Версия 1.2.15

<= 1.2.16(moderate.php)

moderate.php?get_host=1.1.1.1<script>alert(1)</script>

Скрипт действительно выполняется.

Моя сборка FluxBB 1.4

trijin · 25.01.2008 01:34

trijin
Интересующийся
Неактивен

Откуда: Москва
Регистрация: 18.06.2006
Сообщений: 95
Репутация : [0|0]

Re: Версия 1.2.15

необходимо найти и земенить

'/[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/'

на

'/^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$/'

только я не совсем понимаю как этим можно воспользоваться - просматриваются только IP с форума, а туда они заносятся из системных переменных.

trijin.ru/forum/viewforum.php?id=10 пол года в дауне - скоро вернется =)

hcs · 25.01.2008 01:57

hcs
Заслуженный флудер
Неактивен

Откуда: СССР
Регистрация: 10.02.2006
Сообщений: 5,043
Репутация : [144|0]

Re: Версия 1.2.15

Вобщето можно тупо угнать куки админа

trijin · 25.01.2008 02:28

trijin
Интересующийся
Неактивен

Откуда: Москва
Регистрация: 18.06.2006
Сообщений: 95
Репутация : [0|0]

Re: Версия 1.2.15

Для этого надо IP подменить. А как это сделать?)

trijin.ru/forum/viewforum.php?id=10 пол года в дауне - скоро вернется =)

artoodetoo · 25.01.2008 02:33

artoodetoo
May The Force be with you!
Неактивен

Откуда: Россия
Регистрация: 30.10.2006
Сообщений: 1,220
Репутация : [1|0]

Re: Версия 1.2.15

щас начнется охота на админов прячсо!
тем, кому не все-равно - сделайте как trijin сказал. спасибо trijin !

Russian FluxBB | Elektra mods on PunRes

hcs · 25.01.2008 02:51

hcs
Заслуженный флудер
Неактивен

Откуда: СССР
Регистрация: 10.02.2006
Сообщений: 5,043
Репутация : [144|0]

Re: Версия 1.2.15

trijin пишет:

Для этого надо IP подменить. А как это сделать?)

Я ничо не скажу

trijin · 25.01.2008 02:56

trijin
Интересующийся
Неактивен

Откуда: Москва
Регистрация: 18.06.2006
Сообщений: 95
Репутация : [0|0]

Re: Версия 1.2.15

artoodetoo пишет:

щас начнется охота на админов прячсо!
тем, кому не все-равно - сделайте как trijin сказал. спасибо trijin !

Так дело в том что да, уязвимость есть. Но воспользоваться ею может либо тот кто сможет иначе инджектить js (что бы перевести на этот урл) либо сам админ вбивающий это ручками. потому как ссылки на moderate.php?get_host=1.1.1.1<script>alert(1)</script> генерятся самим форумом из IP пользователей которые берутся из серверных переменных. А если кто-то уж и может подменить серверные переменные, то эта уязвимость ему уже никчему

trijin.ru/forum/viewforum.php?id=10 пол года в дауне - скоро вернется =)

artoodetoo · 25.01.2008 03:06

artoodetoo
May The Force be with you!
Неактивен

Откуда: Россия
Регистрация: 30.10.2006
Сообщений: 1,220
Репутация : [1|0]

Re: Версия 1.2.15

а вот за пример как на№"%ть админа я тебе спасибо не скажу.

Russian FluxBB | Elektra mods on PunRes

Visman · 25.01.2008 04:57

Visman
Гуру
Неактивен

Откуда: Енисей батюшка
Регистрация: 01.01.2008
Сообщений: 583
Репутация : [4|0]

Re: Версия 1.2.15

trijin пишет:

необходимо найти и земенить
'/[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/'
на
'/^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$/'
только я не совсем понимаю как этим можно воспользоваться - просматриваются только IP с форума, а туда они заносятся из системных переменных.

Предлагаю это же сделать в admin_user.php.
Правда тут еще более параноидальные мысли, но все-таки проверку ip надо сделать правильно
В install.php, post.php, profile.php и register.php наверняка можно не менять, так как там идет проверка на содержание ip адреса в имени пользователя.

Моя сборка FluxBB 1.4

torg · 27.01.2008 10:27

torg
Опытный
Неактивен

Откуда: Тюмень
Регистрация: 12.04.2006
Сообщений: 232

Re: Версия 1.2.15

Вот что нашёл. Скептическое содержание.
www.opennet.ru/prog/info/3012.shtml

К сожалению, о безопасность разработчики не думают, практически каждый месяц находят серьезные проблемы.

Производительность хоть и выше, чем у таких форумов как phpBB, Invision Power Board и vBulletin, но на среднем уровне, т.е. при большом объеме сообщений в базе, как только таблицы перестанут влазить в кеш СУБД, следует ждать проблем. При большом трафике проблемы могут возникнуть из-за блокировок вследствие UPDATE запросов для обновления счетчика чтений. Средства кеширования отсутствуют. Желательно использовать PHP с модулями акселераторами eAccelerator или Alternative PHP Cache.

По этой forum.antichat.ru/thread59281.html проблеме надеюсь выйдет патч, то есть исправленный php код официально.

Мой вегетарианский форум на PunBB.

Slavik · 27.01.2008 14:25

Slavik
Гуру
Неактивен

Регистрация: 16.03.2006
Сообщений: 896
Репутация : [0|0]

Re: Версия 1.2.15

к сожалению moderate.php действительно дырявый

hcs · 27.01.2008 17:34

hcs
Заслуженный флудер
Неактивен

Откуда: СССР
Регистрация: 10.02.2006
Сообщений: 5,043
Репутация : [144|0]

Re: Версия 1.2.15

torg пишет:

Вот что нашёл. Скептическое содержание.
www.opennet.ru/prog/info/3012.shtml
К сожалению, о безопасность разработчики не думают, практически каждый месяц находят серьезные проблемы.

Если пойти дальше по ссылке из текста после этих слов, то можно заметить несоответствие фактов с заявлением "практически каждый месяц" - в списке за 2007год аж 2 раза, хотя со слов анонимного автора должно быть около 12. Причем одна уязвимость не имеет отношения к ядру.

Visman · 27.01.2008 17:47

Visman
Гуру
Неактивен

Откуда: Енисей батюшка
Регистрация: 01.01.2008
Сообщений: 583
Репутация : [4|0]

Re: Версия 1.2.15

torg пишет:

При большом трафике проблемы могут возникнуть из-за блокировок вследствие UPDATE запросов для обновления счетчика чтений. Средства кеширования отсутствуют.

Надо над этим подумать
Вчера от нечего делать решил уменьшить кол-во запросов к бд. Покалякал над index.php и убрал два SELECT запроса к базе, которые отвечают за кол-во пользователей на форуме и последнего зарегистрированного пользователя. Сделал их вывод через кэш-файл т.к. эти данные обновляются только при добавлении/удалении юзера.

Моя сборка FluxBB 1.4

hcs · 27.01.2008 19:44

hcs
Заслуженный флудер
Неактивен

Откуда: СССР
Регистрация: 10.02.2006
Сообщений: 5,043
Репутация : [144|0]

Re: Версия 1.2.15

Visman, Можно пойте еще дальше и на главной странице кэшировать список разделов, он обновляется очень нечасто.

При большом трафике проблемы могут возникнуть из-за блокировок вследствие UPDATE запросов

Чтобы уберечься от проблем следует использовать не myisam а innodb тип таблиц, либо выбрать postgre субд

Версия 1.2.15 (Страница 1 из 2)

Сообщений с 1 по 25 из 28

1 Тема от artoodetoo 13.04.2007 00:17

Тема: Версия 1.2.15

2 Ответ от hcs 13.04.2007 02:32

Re: Версия 1.2.15

3 Ответ от torg 13.04.2007 04:31

Re: Версия 1.2.15

4 Ответ от hcs 13.04.2007 04:35

Re: Версия 1.2.15

5 Ответ от niikto 22.04.2007 13:43

Re: Версия 1.2.15

6 Ответ от Fili 12.05.2007 05:30

Re: Версия 1.2.15

7 Ответ от niikto 12.05.2007 18:55

Re: Версия 1.2.15

8 Ответ от torg 16.01.2008 11:29

Re: Версия 1.2.15

9 Ответ от nobody 16.01.2008 11:46

Re: Версия 1.2.15

10 Ответ от torg 16.01.2008 13:10

Re: Версия 1.2.15

11 Ответ от torg 24.01.2008 14:04

Re: Версия 1.2.15

12 Ответ от Visman 24.01.2008 17:29

Re: Версия 1.2.15

13 Ответ от trijin 25.01.2008 01:34

Re: Версия 1.2.15

14 Ответ от hcs 25.01.2008 01:57

Re: Версия 1.2.15

15 Ответ от trijin 25.01.2008 02:28

Re: Версия 1.2.15

16 Ответ от artoodetoo 25.01.2008 02:33

Re: Версия 1.2.15

17 Ответ от hcs 25.01.2008 02:51

Re: Версия 1.2.15

18 Ответ от trijin 25.01.2008 02:56 (25.01.2008 03:26 отредактировано trijin)

Re: Версия 1.2.15

19 Ответ от artoodetoo 25.01.2008 03:06

Re: Версия 1.2.15

20 Ответ от Visman 25.01.2008 04:57

Re: Версия 1.2.15

21 Ответ от torg 27.01.2008 10:27

Re: Версия 1.2.15

22 Ответ от Slavik 27.01.2008 14:25

Re: Версия 1.2.15

23 Ответ от hcs 27.01.2008 17:34

Re: Версия 1.2.15

24 Ответ от Visman 27.01.2008 17:47

Re: Версия 1.2.15

25 Ответ от hcs 27.01.2008 19:44

Re: Версия 1.2.15

Сообщений с 1 по 25 из 28

Просматривают тему: 1 гость, 0 пользователей --