punbb 1.2.17 - вопросы всё по изменениям

torg · 23.02.2008 08:25

torg
Опытный
Неактивен

Откуда: Тюмень
Регистрация: 12.04.2006
Сообщений: 232

Тема: punbb 1.2.17 - вопросы всё по изменениям

punbb 1.2.17 - вопросы всё по изменениям

Important! One of the vulnerabilities that were dealt with in 1.2.17 have to do with something called the cookie seed. The changes in 1.2.17 should protect you from the vulnerability, but we still recommend that you make one minor change to your installation to further harden your forum from attacks. To make the change, open up config.php and look for something along the lines of:
$cookie_seed = '5b16024c';

Не много не пойму что с этим делать? Расскажите подробнее. У меня на форуме в файле config.php этого "$cookie_seed = '5b16024c';" нет.

Мой вегетарианский форум на PunBB.

artoodetoo · 23.02.2008 09:10

artoodetoo
May The Force be with you!
Неактивен

Откуда: Россия
Регистрация: 30.10.2006
Сообщений: 1,220
Репутация : [1|0]

Re: punbb 1.2.17 - вопросы всё по изменениям

данная строка - пример. на самом деле это число генерируется при установке и у каждого оно свое. рекомендуется не только накатить изменения 1.2.17, но и изменить этот cookie_seed хотябы на одну букву, на случай если уязвимостью УЖЕ кто-то сумел воспользоваться. (украли куку)
в результате все пользователи, у кого вход был сохранен будут вынуждены войти заново. зато украденная кука станет нерабочей.

Russian FluxBB | Elektra mods on PunRes

coordinator · 23.02.2008 11:52

coordinator
PunBB фан
Неактивен

Откуда: Регион 21
Регистрация: 14.09.2006
Сообщений: 839
Репутация : [4|0]

Re: punbb 1.2.17 - вопросы всё по изменениям

Большое спасибо за разъяснения. Я тоже гадал в чем дело.

У каждого свой взгляд на мир.

Visman · 23.02.2008 19:09

Visman
Гуру
Неактивен

Откуда: Енисей батюшка
Регистрация: 01.01.2008
Сообщений: 583
Репутация : [4|0]

Re: punbb 1.2.17 - вопросы всё по изменениям

torg пишет:

$cookie_seed = '5b16024c';

Кто-нибудь с нуля создавал эту переменную?
Какой длины она у вас в 17 версии?

Моя сборка FluxBB 1.4

PunBBmaster · 24.02.2008 10:17

PunBBmaster
Интересующийся
Неактивен

Регистрация: 20.12.2006
Сообщений: 40
Репутация : [0|0]

Re: punbb 1.2.17 - вопросы всё по изменениям

да, обновления веселят...

 // START SUBST - <pun_page>
 $tpl_main = str_replace('<pun_page>', htmlspecialchars(basename($_SERVER['PHP_SELF'], '.php')), $tpl_main);
-// END SUBST - <pun_title>
+// END SUBST - <pun_page>

народ, а кто подскажет, это зачем?

diff -urN punbb-1.2.16/upload/include/common.php punbb-1.2.17/upload/include/common.php
--- punbb-1.2.16/upload/include/common.php    2007-04-09 16:15:20.000000000 +0200
+++ punbb-1.2.17/upload/include/common.php    2008-02-20 00:09:45.000000000 +0100
@@ -70,8 +70,9 @@
     $_COOKIE = stripslashes_array($_COOKIE);
 }
 
-// Seed the random number generator
-mt_srand((double)microtime()*1000000);
+// Seed the random number generator (PHP <4.2.0 only)
+if (version_compare(PHP_VERSION, '4.2.0', '<'))
+    mt_srand((double)microtime()*1000000);
 
 // If a cookie name is not specified in config.php, we use the default (punbb_cookie)
 if (empty($cookie_name))

artoodetoo пишет:

на случай если уязвимостью УЖЕ кто-то сумел воспользоваться. (украли куку)

я что-то не совсем догоняю... что это за уязвимость и где она в данной апдейте исправзяется??? )

Добавлено спустя 37 минут 41 секунду:

PunBBmaster пишет:

я что-то не совсем догоняю... что это за уязвимость и где она в данной апдейте исправзяется???

уже догнал... но, имхо, как-то они мутно ее устранили... было бы неплохо и переделать алгоритм генерации кода активации, как считаете? )

Visman · 24.02.2008 23:24

Visman
Гуру
Неактивен

Откуда: Енисей батюшка
Регистрация: 01.01.2008
Сообщений: 583
Репутация : [4|0]

Re: punbb 1.2.17 - вопросы всё по изменениям

PunBBmaster пишет:

да, обновления веселят...

Веселят не это обновление, а два последних, если не ошибаюсь.
Там блок кода меняется сам на себя

PunBBmaster пишет:

-// Seed the random number generator
-mt_srand((double)microtime()*1000000);
+// Seed the random number generator (PHP <4.2.0 only)
+if (version_compare(PHP_VERSION, '4.2.0', '<'))
+ mt_srand((double)microtime()*1000000);

Начиная с PHP 4.2.0, больше нет необходимости инициализировать генератор случайных чисел функциями srand() или mt_srand(), поскольку теперь это ...

Моя сборка FluxBB 1.4

hcs · 26.02.2008 09:28

hcs
Заслуженный флудер
Неактивен

Откуда: СССР
Регистрация: 10.02.2006
Сообщений: 5,035
Репутация : [144|0]

Re: punbb 1.2.17 - вопросы всё по изменениям

Обновляю сборку и обнаружил это:

@@ -295,10 +295,10 @@
         if (empty($topics) || $move_to_forum < 1)
             message($lang_common['Bad request']);
 
-        // Verify that the topic IDs are valid
-        $result = $db->query('SELECT 1 FROM '.$db->prefix.'topics WHERE id IN('.implode(',',$topics).') AND forum_id='.$fid) or error('Unable to check topics', __FILE__, __LINE__, $db->error());
-
-        if ($db->num_rows($result) != count($topics))
+        // Verify that the topic IDs are valid
+        $result = $db->query('SELECT 1 FROM '.$db->prefix.'topics WHERE id IN('.implode(',',$topics).') AND forum_id='.$fid) or error('Unable to check topics', __FILE__, __LINE__, $db->error());
+
+        if ($db->num_rows($result) != count($topics))
             message($lang_common['Bad request']);

в moderate.php и не понял что это значит, может я чегото не заметил? Но по моему абсолютно одинаковые буквы.

CR · 27.02.2008 00:20

CR
В теме
Неактивен

Регистрация: 08.08.2006
Сообщений: 157
Репутация : [0|0]

Re: punbb 1.2.17 - вопросы всё по изменениям

может что-то пропустили, т.к. код действительно одинаков

..i hate noiZe..i am noiZe..noiZzze..
Industrial and Noise Music e-Zine
Pop-Industrial and Noise-Glamour Music Community

spycam · 06.03.2008 02:48

spycam
Мастер
Неактивен

Откуда: Красноярск
Регистрация: 27.10.2005
Сообщений: 303
Репутация : [0|0]

Re: punbb 1.2.17 - вопросы всё по изменениям

оффтоп что-то на панресе одни расширения для 1.3 выкладывают, похоже на ветку 1.2 забили уже

hcs · 06.03.2008 02:52

hcs
Заслуженный флудер
Неактивен

Откуда: СССР
Регистрация: 10.02.2006
Сообщений: 5,035
Репутация : [144|0]

Re: punbb 1.2.17 - вопросы всё по изменениям

Да там вообще анархия, панрес после релиза прикажет долго жить

private_joker · 10.03.2008 11:00

private_joker
Интересующийся
Неактивен

Регистрация: 13.02.2008
Сообщений: 51
Репутация : [0|0]

Re: punbb 1.2.17 - вопросы всё по изменениям

Не работает конструкция

 md5(uniqid(rand(), true))

(создание кук), белый экран.
В чем может быть дело?
Поиск еще отвалился. Обновлял вручную по diff'у, все перепроверил

spycam · 11.03.2008 07:29

spycam
Мастер
Неактивен

Откуда: Красноярск
Регистрация: 27.10.2005
Сообщений: 303
Репутация : [0|0]

Re: punbb 1.2.17 - вопросы всё по изменениям

у меня тоже не заработало - проблема описана тут 1.3 beta

punbb 1.2.17 - вопросы всё по изменениям

Сообщений 12

1 Тема от torg 23.02.2008 08:25

Тема: punbb 1.2.17 - вопросы всё по изменениям

2 Ответ от artoodetoo 23.02.2008 09:10

Re: punbb 1.2.17 - вопросы всё по изменениям

3 Ответ от coordinator 23.02.2008 11:52

Re: punbb 1.2.17 - вопросы всё по изменениям

4 Ответ от Visman 23.02.2008 19:09

Re: punbb 1.2.17 - вопросы всё по изменениям

5 Ответ от PunBBmaster 24.02.2008 10:17

Re: punbb 1.2.17 - вопросы всё по изменениям

6 Ответ от Visman 24.02.2008 23:24

Re: punbb 1.2.17 - вопросы всё по изменениям

7 Ответ от hcs 26.02.2008 09:28

Re: punbb 1.2.17 - вопросы всё по изменениям

8 Ответ от CR 27.02.2008 00:20

Re: punbb 1.2.17 - вопросы всё по изменениям

9 Ответ от spycam 06.03.2008 02:48

Re: punbb 1.2.17 - вопросы всё по изменениям

10 Ответ от hcs 06.03.2008 02:52

Re: punbb 1.2.17 - вопросы всё по изменениям

11 Ответ от private_joker 10.03.2008 11:00

Re: punbb 1.2.17 - вопросы всё по изменениям

12 Ответ от spycam 11.03.2008 07:29

Re: punbb 1.2.17 - вопросы всё по изменениям

Сообщений 12

Просматривают тему: 1 гость, 0 пользователей --