GiV Опубликовано 10 Мая 2005 Жалоба Поделиться Опубликовано 10 Мая 2005 IPS PR опубликовала обновление безопасности для IPB версий 1.3.x и 2.0.x! Обновление касается двух файлов "sources/post.php" и "sources/lib/usercp_functions.php". Инструкции по обновлению для IPB 2.0.xsources/post.php (Line: 579)Найти://----------------------------------------- // Add to mail queue //----------------------------------------- $DB->do_insert( 'mail_queue', array( 'mail_to' => $r['email'], 'mail_date' => time(), 'mail_subject' => $ibforums->lang['tt_subject'], 'mail_content' => $this->email->message ) );Заменить://----------------------------------------- // Add to mail queue //----------------------------------------- $DB->do_insert( 'mail_queue', array( 'mail_to' => $r['email'], 'mail_date' => time(), 'mail_subject' => $ibforums->lang['tt_subject'], 'mail_content' => [b]$std->txt_safeslashes([/b]$this->email->message[b])[/b] ) ); sources/post.php (Line: 693)Найти:$DB->do_insert( 'mail_queue', array( 'mail_to' => $r['email'], 'mail_date' => time(), 'mail_subject' => $ibforums->lang['ft_subject'], 'mail_content' => $this->email->message ) );Заменить:$DB->do_insert( 'mail_queue', array( 'mail_to' => $r['email'], 'mail_date' => time(), 'mail_subject' => $ibforums->lang['ft_subject'], 'mail_content' => [b]$std->txt_safeslashes([/b]$this->email->message[b])[/b] ) ); sources/lib/usercp_functions.php (Line: 948)Найти://----------------------------------------- // Check to make sure we don't just have // http:// in the URL box.. //----------------------------------------- if ( preg_match( "/^http:\/\/$/i", $ibforums->input['url_avatar'] ) ) { $ibforums->input['url_avatar'] = ""; } if ( empty($ibforums->input['url_avatar']) )Заменить://----------------------------------------- // Check to make sure we don't just have // http:// in the URL box.. //----------------------------------------- if ( preg_match( "/^http:\/\/$/i", $ibforums->input['url_avatar'] ) ) { $ibforums->input['url_avatar'] = ""; } [b]if ( preg_match( "#javascript:#is", $ibforums->input['url_avatar'] ) ) { $ibforums->input['url_avatar'] = ""; }[/b] if ( empty($ibforums->input['url_avatar']) ) Инструкции по обновлению для IPB 1.3.xsources/Post.php : Нет необходимости исправлений для 1.3.x sources/lib/usercp_functions.php (Line: 705)Найти://----------------------------------------- // Check to make sure we don't just have // http:// in the URL box.. //----------------------------------------- if ( preg_match( "/^http:\/\/$/i", $ibforums->input['url_avatar'] ) ) { $ibforums->input['url_avatar'] = ""; } if ( empty($ibforums->input['url_avatar']) )Заменить://----------------------------------------- // Check to make sure we don't just have // http:// in the URL box.. //----------------------------------------- if ( preg_match( "/^http:\/\/$/i", $ibforums->input['url_avatar'] ) ) { $ibforums->input['url_avatar'] = ""; } [b]if ( preg_match( "#javascript:#is", $ibforums->input['url_avatar'] ) ) { $ibforums->input['url_avatar'] = ""; }[/b] if ( empty($ibforums->input['url_avatar']) ) Ссылка на комментарий Поделиться на других сайтах Прочее
GiV Опубликовано 10 Мая 2005 Автор Жалоба Поделиться Опубликовано 10 Мая 2005 Отдельная благодарность за обнаружение ошибок пользователям нашего форума: NvG (SQL Injection) и в какой то мере lol1k (CSS/XSS Injection) Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения