phpBB 2.0.23 released

кое-кто · Сообщение **кое-кто** » 07.03.2008 14:09

Подскажите люди добрые:

1. Насколько критично это обновление?
Что реально может сделать злоумышленник, если не пофиксить вот это:
[Sec] Fix possible XSRF Vulnerability in private messaging and groups handling ?

2. Можно ли скормить phpBB-2.0.23-codechanges.tar.gz какому-нибудь easymod-у ?

3. У меня шаблон отличный от SubSilver и вряд ли смогу найти что нужно править. (Не программист ни разу). Если не отредактирую свой будет ли форум работать корректно?

Спасибо!

Сообщение **Siava** » 07.03.2008 15:49

кое-кто
Этот самый "Fix possible XSRF Vulnerability in private messaging and groups handling" ни коем образом не зависит от установленного стиля, так как изменения происходят в php-файлах.

Filippok · Сообщение **Filippok** » 11.03.2008 5:06

Приветствую всех, Доброго времени суток.
Обновился без вопросо, полет нормальный, спасибо за труд, товарищи разработчики.
Кстати:

rxu писал(а):В порядке бреда: что если сделать
Код: Выделить всё
else if ($confirm && $sid == $userdata['session_id'])

и у меня 3 (три) === (равенства), но сообщения удаляются

/DiOs · Сообщение **/DiOs** » 11.03.2008 8:37

Да что вы так зациклились на этих трех знаках? Нормальный синтаксис. Ну, могло бы на тройке (php) помешать, да и то скорее на синтаксис ругнулось бы...

amordezomb · Сообщение **amordezomb** » 13.03.2008 12:58

Добрый день! Возникла проблема, с тем что русские буквы стали отображаться вопросами "??????" вместо "Привет".

PHP 5.1.6, MySQL 4.1.16 и MySQL 5.0.18 -
В самой базе - текст нормальный.

Произошло посте обновления ручками с 2.0.22 до 2.0.23.

Тоже самое и с никнеймами и прочим русским текстом. (хорошо что я сначала на локальной копии делаю).

Может кто-нибудь подсказать что можно сделать?

Rayden · Сообщение **Rayden** » 13.03.2008 13:12

почитать FAQ и темы посвященные этой проблеме.

amordezomb · Сообщение **amordezomb** » 13.03.2008 13:49

Rayden писал(а):почитать FAQ и темы посвященные этой проблеме.

Почитал спасибо

Ссылки в подписи очень полезные.
С "вопросиками вместо русского разобрался".

Возникло то, что выдает ошибку вверху страницы при попытке создать новое сообщение или топик:

Код: Выделить всё

Warning: mysql_free_result(): supplied argument is not a valid MySQL result resource in ...\phorum\db\mysql4.php on line 318
Warning: mysql_free_result(): supplied argument is not a valid MySQL result resource in ...\phorum\db\mysql4.php on line 318
Warning: Cannot modify header information - headers already sent by (output started at ...\phorum\db\mysql4.php:318) in ...\phorum\includes\page_header.php on line 568
Warning: Cannot modify header information - headers already sent by (output started at ...\phorum\db\mysql4.php:318) in ...\phorum\includes\page_header.php on line 570
Warning: Cannot modify header information - headers already sent by (output started at ...\phorum\db\mysql4.php:318) in ...\phorum\includes\page_header.php on line 571

*ушел копаться дальше* спасибо

haver · Сообщение **haver** » 17.03.2008 10:07

А какая часть кода в модификации или какие измененные файлы отвечают за последний пункт -
[По части безопасности] Исправлена возможная XSRF-уязвимость в ЛС и обработке групп ?
Хочу установить только это изменение, а все остальное не трогать?

FladeX · Сообщение **FladeX** » 17.03.2008 16:46

haver

Код: Выделить всё

## Files To Edit: 
##		groupcp.php
##		privmsg.php

Редактируйте эти файлы, но мой вам совет - если уж ставите, то ставьте полностью.

Iftin · Сообщение **Iftin** » 18.03.2008 3:51

VVVas писал(а):Iftin
Это уже обсуждалось и есть целая тема по этому поводу. У меня есть опыт поддержки двойки на php5 - я специально ничего не делал. И всё это работает уже как минимум год.

подскажи где эта тема. ищу... пока нет результата.
У меня ситуация, левая панель в ADMIN CP не грузиться (белый фрейм), кто-то видимо конфликтует из модов...

Помню давно, как-то обсуждали с SIAVA в одной из темы, ещё тогда делился мнением, что переменные надо перезадать. ВОт и не знаю где тему искать =(

Добавлено спустя 1 минуту 8 секунд:

у меня Version of PHP: 5.2.5-pl1-gentoo Version of MySQL: 5.0.54

Шурик_ · Сообщение **Шурик_** » 21.03.2008 12:10

Кстати, у меня вопрос в вскользь упомянутой здесь уязвимости,

If a moderator or an admin close a thread in phpBB 2.0.X, the sessionid
is sending with GET:

http://site.tld/phpBB2/modcp.php?t=1&mo ... d=[session]

The admin/moderator are going to be redirected to the thread(with the
session). If an attacker has posted an image in his post, he can see the
referer and so the session id. And if the attacker have a good day and
the admin close the thread, he can use all admin-functions with csrf.

Все понятно, кроме одного - как хакер увидит реферер? Насколько я понял, хакер может увидеть реферер и узнать sid админа, если на форуме разрешено размещать изображения в сообщениях и если он вместо изображения положил скрипт, который ловит это дело?
И если после этого админ закрывает тему и потом нажимает "вернуться в тему".

vic2 · Сообщение **vic2** » 21.03.2008 12:58

Я чет не пойму -- вроде успешно обновился, версия в админке стала 2.0.23. Теперь захожу -- опять 2.0.22...
Ничего не менял, не доустанавливал... давно не заглядывал в админку и не могу даже определить, когда это произошло.

Палыч · Сообщение **Палыч** » 21.03.2008 13:03

vic2
Ну если уверены, что обновились полностью и правильно, то, скорее всего, просто при обновлении не запускали скрипт update_to_latest.php, который собственно и вносит изменение в таблицу ****_config проставляя значение version = 0.23

vic2 · Сообщение **vic2** » 21.03.2008 18:58

Палыч
Так иначе б в админке не увидел версию 2.0.23.
Раз больше ни у кого такого не было, спишем на то, что хостер втихаря базу из бэкапа восстановил. Был момент, когда сайт был некоторое время недоступен. Сравню файлы -- если что, обновлю поновой.
Вопрос закрыт.

DragonDX · Сообщение **DragonDX** » 21.03.2008 21:16

Iftin
Не в этом ли Ваша проблема?