1

Тема: PunBB 1.3.2

PunBB 1.3.2 has been released. Apart from minor bugs, the following security flaws have been resolved (reported by Stefan Esser):

    * an XSS vulnerability in login.php;
    * a possible SQL-injection in the the admin settings page with permission config values;
    * a possible SQL-injection in the the admin users page.

As usual, security hotfixes for versions 1.3 and 1.3.1 have been released.

По идее, если установлены хотфиксы, обновляться не надо, как я понимаю.

У каждого свой взгляд на мир.

Сайт coordinator

Поделиться

2

Re: PunBB 1.3.2

Уже поставил smile

Поделиться

3 (08.12.2008 15:59 отредактировано putnik)

Re: PunBB 1.3.2

В 1.3.1 при установленных хотфиксах вылезла ошибка в cache.php на 374 строчке. Могу ошибаться (накосячил при апдейте, пришлось срочно фиксить, поэтому не записал), но вроде ругнулось на существование $output['hotfix'].
Судя по всему фишка в том, что «</updates>» он находит за счёт уведомления о выходе новой версии в админке, а вот новых хотфиксов не находит.
Если так, то, видимо, стоит к

        if (is_array($output['hotfix']) && !is_array(current($output['hotfix'])))

прикрутить что-нибудь типа isset().

Upd: Вижу, что уже исправили.

Сайт putnik

Поделиться

4

Re: PunBB 1.3.2

И уже выпустили хотфикс для 1.3-1.3.2.

Сайт parpalak

Поделиться

5 (10.12.2008 08:04 отредактировано dilavis)

Re: PunBB 1.3.2

Подскажите, пожалуйста:

1. Я применил предлагаемые исправления, но желтая ссылка "Новые уведомления" все еще горит. Так и должно быть?

2. После установки исправлений остался список примененных исправлений, с ссылками "Отключить", "Удалить". Что будет если на них нажать? При каком варианте произойдет откат?

3. Как убрать "[ Сгенерировано за 0,101 секунд(ы), выполнено 12 запросов ]"?

Поделиться

6

Re: PunBB 1.3.2

dilavis пишет:

Как убрать

PunBB 1.3 - FAQ

dilavis пишет:

Что будет если на них нажать

Что написано, то и будет.

dilavis пишет:

Я применил предлагаемые исправления, но желтая ссылка "Новые уведомления" все еще горит

Может это сообщение не о новых хотфиксах, а о новом релизе. Посмотри панели администрирования.

У каждого свой взгляд на мир.

Сайт coordinator

Поделиться

7

Re: PunBB 1.3.2

coordinator, спасибо.

Я просто думаю, неужели все обновления, которые я применил и хочу оставить будут отображаться в списке? Думаю, может быть "Удалить" - это значит удалить из списка? Что значит "Отключить"? Вернуть как было?

Поделиться

8

Re: PunBB 1.3.2

dilavis пишет:

"Удалить" - это значит удалить из списка?

Нет, это значит удалить хотфикс сам по себе.

У каждого свой взгляд на мир.

Сайт coordinator

Поделиться

9

Re: PunBB 1.3.2

coordinator, спасибо.

Поделиться

10

Re: PunBB 1.3.2

Скажите, а как убрать "Currently used extensions: pun_repository, pun_bbcode, pun_antispam."
Почему отображается такая строчка?

Поделиться

11

Re: PunBB 1.3.2

вы FAQ читали прежде чем написать? cool
http://punbb.ru/post21056.html#p21056

Сайт Wolverine

Поделиться

12

Re: PunBB 1.3.2

Извиняюсь.

Поделиться

13

Re: PunBB 1.3.2

Скажите, в обновлении PunBB 1.3.1 на PunBB 1.3.2 менялось что-нибудь в шаблоне Oxygen?

Поделиться

14

Re: PunBB 1.3.2

Поюзал я несколько месяцев punbb 1,3 и пришел к выводу, что она во многом хуже предыдущей версии. В ней только 1 плюс - удобная работа с экстеншнами. В остальном меня не покидает чувство сырости движка. Админ-панель в 1,2 была куда удобнее, чем сейчас. Зачем-то все усложнили, начиная от банальной вставки счетчиков до создания шаблонов. Надеюсь что со временем разработчики допилят punbb до нормального состояния.

Поделиться

15

Re: PunBB 1.3.2

Заметил глюк. Переходим к регистрации и отправляем пустую форму. В результате скрипт нам сообщает, что необходимо заполнить обязательные поля, а немного выше — на ваш имейл отправлена активационная ссылка.

Поделиться

16

Re: PunBB 1.3.2

padizar пишет:

Заметил глюк. Переходим к регистрации и отправляем пустую форму. В результате скрипт нам сообщает, что необходимо заполнить обязательные поля, а немного выше — на ваш имейл отправлена активационная ссылка.

У меня такого глюка нету hmm Версия 1.3.2

Поделиться

17

Re: PunBB 1.3.2

При обновлении с 1.2 на 1.3 сделад всё как указано в FAQ, в конце запустил Install.php заменил предложенные данные для конфига вместо тех что были при версии 1.2.
Пытаюсь открыть форум - открывается белый лист! Что сделать?

Поделиться

18

Re: PunBB 1.3.2

АП пишет:

сделад всё как указано в FAQ

В каком FAQ, что делали именно? Почему Install.php, а не db_update.php?

У каждого свой взгляд на мир.

Сайт coordinator

Поделиться

19

Re: PunBB 1.3.2

coordinator, всё верно db_update.php. А FAQ - этот

Разобрался я в чем причина-скинул файлы с дистрибутива и сразу же русифицированные, а потом начал апдейдить, поэтому и не получилось.
А вот проапдедил сперва перед русификацией и всё норм! Считаю об этом можно упомянуть в вашем Факе. На ваше усмотрение конечно.
И если до этого стояла версия 1.2. с utf-8 то зачем проделывать те мохинации (1 и 2 пункт того же Фака)?
Спс

Поделиться

20

Re: PunBB 1.3.2

АП пишет:

И если до этого стояла версия 1.2. с utf-8 то зачем проделывать те мохинации (1 и 2 пункт того же Фака)?
Спс

В таком случае не нужно. Но это должно быть понятно и без пояснений. Рад что у вас все заработало.

У каждого свой взгляд на мир.

Сайт coordinator

Поделиться

21 (26.01.2009 13:03 отредактировано zeppelin)

Re: PunBB 1.3.2

После установки исправления "PunBB 1.3.2 hotfix for a potential XSS attack via GET-parameter "p" при клике по domain.com/forum/userlist.php вижу:

Notice: Undefined index: nav in /home/domain.com/public_html/forum/userlist.php(107) : eval()'d code on line 22

Notice: Undefined index: nav in /home/domain.com/public_html/forum/userlist.php(107) : eval()'d code on line 22

Notice: Undefined index: nav in /home/domain.com/public_html/forum/userlist.php(107) : eval()'d code on line 22

Notice: Undefined index: nav in /home/domain.com/public_html/forum/userlist.php(107) : eval()'d code on line 22

Это видно и админу форума, и зарегившимся мемберам.

Подскажите как решить проблему.

Пока решил выключить этот 1.3.2 hotfix.

Поделиться

22

Re: PunBB 1.3.2

У меня все нормально.

Поделиться

23

Re: PunBB 1.3.2

Dermon пишет:

У меня все нормально.

Я рад, что у Вас все нормально, но это не ответ пользователю (клиенту), у которого возникла проблема.

Поделиться

24 (27.01.2009 04:49 отредактировано Dermon)

Re: PunBB 1.3.2

zeppelin пишет:

Я рад, что у Вас все нормально, но это не ответ пользователю (клиенту), у которого возникла проблема.

1. Я точно такойже пользователь, как и вы.
2. Если у меня все нормально, вспоминайте где и что вы исправляли руками или попробуйте отключить не официальные расширения.
3. Это форум с открытым кодом (бесплатный) и вам никто ничем не обязан.

Поделиться

25

Re: PunBB 1.3.2

Поставил эту заплатку. У меня такой проблемы нет.

Поделиться