SAT Опубликовано 31 Января 2006 Жалоба Поделиться Опубликовано 31 Января 2006 MotoDenстоит заменить на тот код который написал Vic'er, как видишь он отличается от предложенного в новостях и думаю от предложенного на IPS. Ссылка на комментарий Поделиться на других сайтах Прочее
wrm Опубликовано 1 Февраля 2006 Жалоба Поделиться Опубликовано 1 Февраля 2006 Что-то я не могу понять, а как закрыть эту дырку в 2.0.3???Не нашел ничего похожего... Ссылка на комментарий Поделиться на других сайтах Прочее
Гость Salavat Опубликовано 1 Февраля 2006 Жалоба Поделиться Опубликовано 1 Февраля 2006 wrmЛОЛ =) Точно также, как и на 2.0.4 =)) Ссылка на комментарий Поделиться на других сайтах Прочее
SAT Опубликовано 1 Февраля 2006 Жалоба Поделиться Опубликовано 1 Февраля 2006 для начала требуется установка вот этого патча: [iPB 2.0.x и 2.1.x] Обновление безопасности Ссылка на комментарий Поделиться на других сайтах Прочее
MotoDen Опубликовано 1 Февраля 2006 Жалоба Поделиться Опубликовано 1 Февраля 2006 SATдык он же для 2.0.4, а я про 2.1.4! Ссылка на комментарий Поделиться на других сайтах Прочее
MotoDen Опубликовано 7 Февраля 2006 Жалоба Поделиться Опубликовано 7 Февраля 2006 Прошу помочь! Мне сказали, что "ЭТО КОСЯЧИТ ОДИН ИЗ ПАТЧЕЙ ДЛЯ IPB!"А вот и сама проблема: заменил все как сказано тут( правда заменить нужно было мало): IPB 2.x.x: Обновление безопасности.Теперь получаю вот такое сообщение при входе в темы:Fatal error: Call to undefined function: clean_int_array() in z:\home\my_proekt\www\forum\sources\action_public\topics.php on line 2308 Fatal error: Call to undefined function: clean_int_array() in z:\home\promoto.org.ru\www\forum\sources\action_public\forums.php on line 85Облазил весь форум, но так ничего и не нашел.IPB 2.1.4 Ссылка на комментарий Поделиться на других сайтах Прочее
Dr.Freddy Опубликовано 7 Февраля 2006 Жалоба Поделиться Опубликовано 7 Февраля 2006 Кончайте флудить в важной теме, а? Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 7 Февраля 2006 Жалоба Поделиться Опубликовано 7 Февраля 2006 Прошу помочь! Мне сказали, что "ЭТО КОСЯЧИТ ОДИН ИЗ ПАТЧЕЙ ДЛЯ IPB!"А вот и сама проблема: заменил все как сказано тут( правда заменить нужно было мало): IPB 2.x.x: Обновление безопасности.Теперь получаю вот такое сообщение при входе в темы:Fatal error: Call to undefined function: clean_int_array() in z:\home\my_proekt\www\forum\sources\action_public\topics.php on line 2308 Fatal error: Call to undefined function: clean_int_array() in z:\home\promoto.org.ru\www\forum\sources\action_public\forums.php on line 85Облазил весь форум, но так ничего и не нашел.IPB 2.1.4Юзай поиск по "clean_int_array" в патчах.Ты это забыл вставить. Ссылка на комментарий Поделиться на других сайтах Прочее
MotoDen Опубликовано 7 Февраля 2006 Жалоба Поделиться Опубликовано 7 Февраля 2006 NaFigatorНашел! Спасибо! Ссылка на комментарий Поделиться на других сайтах Прочее
froud Опубликовано 7 Марта 2006 Жалоба Поделиться Опубликовано 7 Марта 2006 мм, кто-нибудь уже запатчил свежую дырку(sql-inj)? Ссылка на комментарий Поделиться на других сайтах Прочее
Destruction Опубликовано 7 Марта 2006 Жалоба Поделиться Опубликовано 7 Марта 2006 А описание есть?.. Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 7 Марта 2006 Жалоба Поделиться Опубликовано 7 Марта 2006 мм, кто-нибудь уже запатчил свежую дырку(sql-inj)?Насколько свежую?Можно линк на описание? Ссылка на комментарий Поделиться на других сайтах Прочее
~* L O V E R *~ Опубликовано 7 Марта 2006 Жалоба Поделиться Опубликовано 7 Марта 2006 NaFigatorДумаю имеется ввиду та, что в теме "Многочисленные уязвимости..." (точного названия не помню). Ссылка на комментарий Поделиться на других сайтах Прочее
ВасилОК Опубликовано 7 Марта 2006 Жалоба Поделиться Опубликовано 7 Марта 2006 Подскажите, пожалуйста, если включить в badwords "+document.cookie" это не отразится на правильной работе форума? Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 7 Марта 2006 Жалоба Поделиться Опубликовано 7 Марта 2006 Не должно Ссылка на комментарий Поделиться на других сайтах Прочее
froud Опубликовано 7 Марта 2006 Жалоба Поделиться Опубликовано 7 Марта 2006 forum/index.php?showtopic=[anytopic]&pid=1&st=-1[sql-here] Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 7 Марта 2006 Жалоба Поделиться Опубликовано 7 Марта 2006 forum/index.php?showtopic=[anytopic]&pid=1&st=-1[sql-here][/quote]На IBR не работает.На 2.0.4 показало следующее:mySQL ошибка запроса: SELECT pid FROM xxx_posts WHERE topic_id=100 ORDER BY pid asc LIMIT -1,30 Ошибка mySQL: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-1,30' at line 1Заюзать не удалось, хотя потенциальная опасность, похоже, в наличии.Или нет?.. Ссылка на комментарий Поделиться на других сайтах Прочее
yarweb Опубликовано 7 Марта 2006 Жалоба Поделиться Опубликовано 7 Марта 2006 шутник Ссылка на комментарий Поделиться на других сайтах Прочее
Song Опубликовано 7 Марта 2006 Жалоба Поделиться Опубликовано 7 Марта 2006 В LIMIT'е уязвимости нет. Ссылка на комментарий Поделиться на других сайтах Прочее
froud Опубликовано 8 Марта 2006 Жалоба Поделиться Опубликовано 8 Марта 2006 http://www.security.nnov.ru/Ldocument711.html Ссылка на комментарий Поделиться на других сайтах Прочее
~* L O V E R *~ Опубликовано 8 Марта 2006 Жалоба Поделиться Опубликовано 8 Марта 2006 http://www.security.nnov.ru/Ldocument711.htmlДанный сплоит уже был на форуме. Вообще если префиксы у таблиц стандартные, то можно опасаться только какого нибудь скрипткиддиса. Ссылка на комментарий Поделиться на других сайтах Прочее
vasyast Опубликовано 8 Марта 2006 Жалоба Поделиться Опубликовано 8 Марта 2006 http://www.security.nnov.ru/Ldocument711.htmlДанный сплоит уже был на форуме. Вообще если префиксы у таблиц стандартные, то можно опасаться только какого нибудь скрипткиддиса.Давно он уже не пашет. Я уже прошарил форумы этих "андерграудеров" фиговых. Вообщем, - "В Багдаде всё спокойно". Ссылка на комментарий Поделиться на других сайтах Прочее
Aleks Опубликовано 8 Марта 2006 Жалоба Поделиться Опубликовано 8 Марта 2006 08 марта, 2006Программа: Invision Power Board 2.0.0 - 2.1.4 Опасность: Средняя Наличие эксплоита: Нет Описание: Уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения. 1. Уязвимость существует из-за недостаточной обработки входных данных в файлах куки. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. 2. Уязвимость существует из-за недостаточной обработки входных данных в некоторых параметрах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Что скажете по этому поводу? Ссылка на комментарий Поделиться на других сайтах Прочее
vasyast Опубликовано 8 Марта 2006 Жалоба Поделиться Опубликовано 8 Марта 2006 Что скажете по этому поводу?Межсайтовый скриптинг и SQL-инъекция в Invision Power Board Ссылка на комментарий Поделиться на других сайтах Прочее
kolorom Опубликовано 8 Марта 2006 Жалоба Поделиться Опубликовано 8 Марта 2006 Как латать руками на 1.3 ? Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения