GiV Опубликовано 2 Сентября 2005 Жалоба Поделиться Опубликовано 2 Сентября 2005 Данные исправления предназначены для устранения возможной XSS инъекции. Уязвимость позволяет злоумышленнику внедрить вредоносный HTML / javascript код в IPB, чтобы перехватить пользовательские cookies. Уязвимость работает только в браузере Internet Explorer 6 из-за слабой проверки MIME-типов и обработки тэгов. Исправление уязвимостей в версии 2.0.хИзменения вносятся в файл ./sources/lib/post_parser.php (строчки: 519-520) Найти: if ( is_array( $ibforums->cache['bbcode'] ) and count( $ibforums->cache['bbcode'] ) ) { Добавить после: # XSS Clean $t = preg_replace( "#javascript\:#is", "java script:", $t ); $t = str_replace( "`" , "`" , $t );Далее скачать указанный ниже файл и закачать его на сервер. В архиве сохранена иерархия директорий, для простоты использования. ipb204update.zip Изменение MIME-типов:Мы так же рекомендуем Вам изменить MIME-типы некоторых опасных файлов, которые разрешены на форуме для прикрепления.Что необходимо проделать:Войти в АдминцентрВоспользоваться группой настроек Прикрепляемые файлы -> Типы прикрепляемых файловОтредактировать опции для файлов ".htm", ".html", ".txt", ".rtf", выставив в поле "MIME-тип файла" значение "unknown/unknown" (без кавычек)Дистрибутивы IPB 2.0.4 и IPB 2.1.0 RC1 (eng) обновлены. Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения