Косяки Invision Board 2.0.x включая 2.0.4

[DJ_KISSLOTNIY]

Недавно на Invizionize нашел набор багофиков админ панели форумов Invision Board версий 2.0.0-2.0.4 от некого S.D.

 

Вот что он пишет по поводу этих фиксов и их списко собственно:

Invisionboard 2.x Admin CP Security Fixes

For IPB 2.x up to and including 2.0.4 by S.D.

 

Mainly this modification tries to take away all options a Regular Admin can do to promote themselves to Root Admin. You may have noticed that Regular Admins are prevented from doing certain things to root admin accounts and the root admin group. As I investigated this, I discovered that those blocks can be bypassed in several ways. This mod corrects most if not all of them. It also fixes a bug where preset groups can be deleted. Most of these security problems have existed since the first version of IPB. I do not plan on making a similar modification for previous versions! This one took a long time to make

 

Changes:

1.0.2 - fixed second to last edit

1.0.1 - Secondary Group fix(redo the last change in the instructions if you installed 1.0.0)

 

Complete list of fixes

 

ad_group.php prevents:

- Regular admin edit root admin group

- Any admin DELETE a preset group(guests/admins/validating/members)

- Regular admin move members into the root admin group by deleting a group

- Auto-Promotion of any group to root admin

- Auto-Demotion of root admin

 

ad_member.php prevents:

- Regular admin change a root admin's name

- Regular admin edit a root admin's email address

- Regular admin change a root admin's password

- Regular admin move members into the root admin group by editing a member

- Regular admin add a new member to the root admin group(Add New Member)

Files affected:

sources/admin/ad_groups.php

sources/admin/ad_member.php

 

 

Файл с инструкциями по исправлению можна найти по этой ссылке: http://mods.invisionize.com/db/index.php/a/download/f/4916

 

Но главное зачем я создаю эту тему. Хотелось бы узнать у знатоков их мнение по поводу этих фиксов и что за баги там вообще устраняются, потому что я не совсем все понял. Есть ли там какие-то важные исправления? Или есть ли там вообще какие-то исправления, может нет смысла на самом деле?

[SphinX]

Предлагаемые фиксы, как указывает автор, защищают пользователей группы корневых администраторов от редактирования, удаления, перемещения в другие группы обычными админами. Кроме того, предохраняет группу рутовых админов от посягательств извне, например, обычный админ не сможет средствами АЦ добавить нового пользователя в группу корневых администраторов.

Плюс фиксы не позволяют удалять основные группы пользователей (guests/admins/validating/members)

[Еve]

SphinX, вопрос в том, действительно ли есть эти дырки и действительно ли этот фикс помогает.

[Vic'er]

SphinX, вопрос в том, действительно ли есть эти дырки и действительно ли этот фикс помогает.

<{POST_SNAPBACK}>

 

Я бы не сказал, что это дырки, скорее всего так и задумывалось, а этот патч меняет логику, вот и все...

[d1pro]

Я себе сделал так, чтобы внесенных в список рут-админов никто редактировать/удалять не мог. Даже другие рут-админы. Нужно обязательно редактировать файлик на сервере. Ну для кучи запрет вносить в админы тоже надо добавить...

[Anna]

Тут есть модификация Protected Root Admin by Чертос-2 - это не то же самое случайно?

[xren]

Вроде бы нет, кажеться это дополнительный пароль на админку. НО могу ошибаться.

 

Кстати мод дополнительного пароля совершенно не нужен если есть возможность юзать .хтааксец

[Monah]

Да, тож самое или почти тож самое. Просто в модификации от Чертоса есть доп фнункция защиты вторым паролем.