Патч безопасности [Search.php]

[GiV]

Новый security патч для версий 1.x

Метод защиты:

заменить код

if (isset($ibforums->input['st']) )
{
    $this->first = $ibforums->input['st'];
}

на

$ibforums->input['st'] = intval($ibforums->input['st']);
    
if ( $ibforums->input['st'] )
{
    $this->first = $ibforums->input['st'];
}

 

Данный патч признан официальным 3 марта 2004 года. Пожалуйста соответствующий топик Matt'a:

http://forums.invisionpower.com/index.php?showtopic=116163

Изменено 4 Марта 2004 пользователем Oska

[MAFIA]

А в каком файле это находится?

[theIggs]

SQL Injection в IPB [search.php],

[MAFIA]

Ок спасибО!

[Song]

Конечно, дыра есть, но запрос всё же не выполнить, потому что в конец запроса подставляется ",количество_тем_на_страницу_форума_при_поиске", поэтому выдаёт SQL Syntax Error.

[theIggs]

Song, значит, не умеешь составлять запросы.

[Song]

Да, я и не пытался сильно

[bobsfm]

Vanish

спасибо!

[Jlamepok]

Грамотней было бы:

if (isset($ibforums->input['st']) )
{
    $this->first = trim(intval($ibforums->input['st']));
}

[GiV]

Jlamepok нет не грамотнее.

 

Вышел официальный патч:

http://forums.invisionpower.com/index.php?act=ST&f=&t=116163

[Evgheni]

А как насчет v1.2 ?

[IBResource]

Да, такой код есть во всех версиях. Поэтому мы рекомендуем ставить патч на все версии. В версиях 1.x этот неисправленный код замечен!

[Evgheni]

Так какой именно код рекомендует администрация IBR.ru

От Vanish или Jlamepok?

 

P.S. Ведь исправленый файл Поиска от 1.3 не подойдет к 1.2

Изменено 4 Марта 2004 пользователем Evgheni

[theIggs]

Evgheni

Ставь официальный.

[IBResource]

от Jlamepok мы в этом топике писали, что не грамотнее. Мы рекомендуем внести изменения описаные в начале топика:

SQL Injection в IPB [search.php]

Эти изменения проводятся в вашем sources/Search.php.

P.S. Ведь исправленый файл календаря от 1.3 не подойдет к 1.2

Календарь тут не причем...

[Evgheni]

soorry, хз чего я про Календарь заговорил.

имел ввиду search.

 

Или исправленный Search.php от 1.3 подойдет и для 1.2 ?

[IBResource]

Или исправленный Search.php от 1.3 подойдет и для 1.2 ?

Нет тот файл (который Matt) дал поэтому качать не нужно. Он вряд ли подойдет. Поэтому лучше произвести изменения и все.

[Song]

да там слово одно вставить

а вы тут файлы пересылаете

[IBResource]

да там слово одно вставить

а вы тут файлы пересылаете

Вот вот. Одно изменение, зачем файлы качать...

[Наташенька610]

привет всем! извините, а я не поняла в каком файле это менять и где? объясните плиз! очень прошу.

[Total]

search.php

[Наташенька610]

Total спасибо, а где он находится? извините за такие глупые вопросы, просто я его не могу найти.

[mayak]

Наташенька610

А вы поиском файлов умеете пользоваться?

\sources\search.php

[zzzolegzzz]

А если у меня (то что надо заменять) написано:

     if (isset($ibforums->input['st']) )
     {
    	 $this->first = intval($ibforums->input['st']);
     }

То что мне делать ?

[IBResource]

А если у меня (то что надо заменять) написано:

 

CODE

 

  if (isset($ibforums->input['st']) )

  {

      $this->first = intval($ibforums->input['st']);

  }

 

 

То что мне делать ?

zzzolegzzz

Значит у вас более новая версия, уже исправленная. Вам этот патч ставить не нужно.