 |
Została wydana nowa wersja jednego z najpopularniejszych for, oznaczona numerkiem: 2.0.13. Ma ona naprawiać dwa błędy w zabezpieczeniach, które odkryto kilka dni po wydaniu wersji 2.0.12. Błędy są groźne, dlatego należy jak najszybciej zaaktualizować nasze fora, poniżej zamieszczam dokładniejszy opis błędów.
Pierwszy błąd jest krytycznyi gdyż pozwala każdemu na zdobycie praw administratorskich(wykorzystuje błędny kod skryptu do zarządzania sesjami).
Znajduje się on w pliku includes/sessions.php
Znajdujemy kod:
Kod:
if( $sessiondata['autologinid'] == $auto_login_key )
i zastępujemy go na:
Kod:
if( $sessiondata['autologinid'] === $auto_login_key )
Następny błąd znajduje się w pliku viewtopic.php
Znajdujemy kod:
Kod:
$message = str_replace('\"', '"', substr(preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "preg_replace('#\b(" . $highlight_match . ")\b#i', '<span style=\"color:#" . $theme['fontcolor3'] . "\"><b>\\\\1</b></span>', '\\0')", '>' . $message . '<'), 1, -1));
i zastępujemy go:
Kod:
$message = str_replace('\"', '"', substr(@preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "@preg_replace('#\b(" . $highlight_match . ")\b#i', '<span style=\"color:#" . $theme['fontcolor3'] . "\"><b>\\\\1</b></span>', '\\0')", '>' . $message . '<'), 1, -1));
Oficjalną wiadomość o błędzie możemy przejrzeć pod tym adresem.
PhpBB 2.0.13 możemy ściągnąć spod tej strony.
Czytaj takżę:
Instalacja forum phpBB
Włamanie na oficjalną stronę projektu phpBB
phpBB zagrożone przez robaka Santy
Phpbb wciąż dziurawe
phpBB i poważne błędy bezpieczeństwa!
|
