Ritsuka Опубликовано 19 Марта 2010 Жалоба Поделиться Опубликовано 19 Марта 2010 Это не то же самое обновление!Архив для 3.0.5 на IPS был обновлен, о чем гласит в частности второй пост в теме. Скачать можно с официального форума:http://community.invisionpower.com/topic/3...ecurity-update/ Или тут:305_march_10.zip Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Design_Nick Опубликовано 19 Марта 2010 Жалоба Поделиться Опубликовано 19 Марта 2010 Не понял. А что мы обновили тогда? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 KoMePcAHT Опубликовано 19 Марта 2010 Жалоба Поделиться Опубликовано 19 Марта 2010 тогда был просто хотфикс, а это судя по всему уже полностью готовый рабочий вариант без дырок. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Ritsuka Опубликовано 19 Марта 2010 Автор Жалоба Поделиться Опубликовано 19 Марта 2010 Ну, если вы пропустили, расскажу вкратце: 9 марта мною был проведен дефейс официального форума IPS, базирующийся на коде эксплоита для 2.3.6, выложенном тут,10 марта был выпущен патч, 10 марта вечером - мною был повторен дефейс,10-11 марта мне предложили помочь устранить уязвимости и протестировать патчи,16 марта мы закончили работать, устранив порядка 30 дыр в парсере18 марта - IPS обновило патч на официальном сайте. Дыры в парсере, которые закрывает этот патч:- перерасход всей доступной памяти сервера (такую няшку - да в подпись - ня?),- перерасход CPU (100% загрузки сервера на все max_execution_time),- разрушение HTML-разметки (свой html и css в подписях, страницах & etc),- активная XSS (так и не доказано, что она есть, но мы сошлись на том, что она есть))) Как-то так Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Design_Nick Опубликовано 19 Марта 2010 Жалоба Поделиться Опубликовано 19 Марта 2010 (изменено) 3.0.5. было уже давно (я ставил в декабре). Потом было обновление безопасности. Что это? update:Ого себе.А что такое "дефейс"? Ломал что-ли? Изменено 19 Марта 2010 пользователем Design_Nick Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Ritsuka Опубликовано 19 Марта 2010 Автор Жалоба Поделиться Опубликовано 19 Марта 2010 Скажем так, без этого патча положить любой форум на тройке не составит никакого труда. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Design_Nick Опубликовано 19 Марта 2010 Жалоба Поделиться Опубликовано 19 Марта 2010 Мда уж. С одной стороны я безумного огорчен наличием таких недочетов у IPB, с другой так же рад, что общаюсь на этом форуме и с тобой особенно. Спасибо! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Arhar Опубликовано 19 Марта 2010 Жалоба Поделиться Опубликовано 19 Марта 2010 ять, тупой badWords по прежнему невероятно кретински написанну скажи ты им, что for( $i = 97; $i <= 122; $i++ ) { $text = str_replace( "" . $i . ";", chr($i), $text ); }тут херится предыдущая замена всех on-евентов для защиты от xss Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Ritsuka Опубликовано 19 Марта 2010 Автор Жалоба Поделиться Опубликовано 19 Марта 2010 (изменено) Arhar, ок, сейчас напишу Сам не знал, что они сделают в итоге, ибо перед релизом патча затихли и кода не давали. Как вижу - просто куча новых затычек + regexp для некоторых тегов вместо линейного поиска...) Изменено 19 Марта 2010 пользователем Ritsuka Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Arhar Опубликовано 19 Марта 2010 Жалоба Поделиться Опубликовано 19 Марта 2010 надо попробовать написать парсер по алгоритму ЛастДрагона Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Design_Nick Опубликовано 21 Марта 2010 Жалоба Поделиться Опубликовано 21 Марта 2010 Я так понимаю нам простым "ненастоящим сварщикам" стоит ждать еще одно обновление безопасности? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Ritsuka Опубликовано 21 Марта 2010 Автор Жалоба Поделиться Опубликовано 21 Марта 2010 Design_Nick, нет, все ок, дыр больше вроде бы нет (по крайней мере, я не могу более ничего найти ^^'). А про переписывание парсера - это ребята играют в старинную мужскую игру - меряются МПХ. По факту очень маловероятно, что кто-то когда-то перепишет для IPS парсер BBCode ради каких-то там жалкий байтов экономии памяти и процессорного времени. Тем более что это еще не факт, что другой алгоритм будет надежнее и быстрее, учитывая требования к расширяемости и кастомизации кодов, заявленные в движке Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Ralf99 Опубликовано 21 Марта 2010 Жалоба Поделиться Опубликовано 21 Марта 2010 Народ объясните. У меня стоит 3.0.5 и я еще не делал обновление безопасности. Какое обновление мне сейчас ставить ????? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Ritsuka Опубликовано 21 Марта 2010 Автор Жалоба Поделиться Опубликовано 21 Марта 2010 А оно теперь только одно - последнее Лежит в первом аттаче или на IPS. А вот то, что тут в новости на IBR - устаревшее. На IPS файл подменили на новый, а на IBR пока еще нет. Собственно, на что и обратил ваше внимание этой темой. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 LastDragon Опубликовано 21 Марта 2010 Жалоба Поделиться Опубликовано 21 Марта 2010 Ох уж это IPS... Почему нельзя было создать новую новость? Если бы не Ritsuka так и не узнал бы про него...Пошел смотреть. Посмотрел Патч для английской версии (в некоторых местах нет mb_* и есть английские строки) Как же они любят копипаст... надо им Макконелла и Фаулера что ли подарить Похоже что изменения влиты из 3.1 т.к. в 3.0 метод showError() принимает 4 аргумента - у них 5 (последний похож на HTTP код) Часть ошибок будет всегда в лог попадать, зачем? ХЗ Алгоритм работы парсера остался таким же, добавились только методы очистки (точнее стал он каким то странным - закрывающий тэг ищется только если опции !== false. Хм*). Цитаты теперь парсятся регекспами (хотя это мы уже обсуждали) Жалко , я уж было подумал действительно перепишут парсер... * Похоже часть уязвимостей могла остаться, но работать они похоже будет только для определенного порядка пользовательских ББ-кодов (хотя может и ошибаюсь, т.к. посмотрел мельком) А про переписывание парсера - это ребята играют в старинную мужскую игру - меряются МПХ.Ничем они не меряются - просто положили. Т.к. никого, по большому счету, не волнует насколько медленно это все работает - большие форумы тяжело на что-то другое перевести, как и тем кто купил лицензию тяжело её просто так выкинуть. А у ребят из IPS (как и из любой другой компании) только одна забота - как можно быстрее штамповать код (другой причины вставлять в 3 и более мест один и тоже код я не вижу).... ладно прервусь... В архиве русифицированная версия одноименного файла из патча. Сам не тестировал. Никакой ответственности за возможный ущерб не несу.usercpForms.zip Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Ritsuka Опубликовано 21 Марта 2010 Автор Жалоба Поделиться Опубликовано 21 Марта 2010 А я этот файл и не менял ^^' Это заплатка против malformed url, удаляющего аватарку пользователя Почему нельзя было создать новую новость?Стыдно Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 VoimiX Опубликовано 22 Марта 2010 Жалоба Поделиться Опубликовано 22 Марта 2010 Народ, подскажите какой мне патч устанавливать у меня сейчас стоит Версия IP.Board v3.0.3 (ID:30010) какой мне файл качать? Или какая-то должна быть последовательность установки? что-то не очень понятно заранее спасибо Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Ritsuka Опубликовано 22 Марта 2010 Автор Жалоба Поделиться Опубликовано 22 Марта 2010 Сначала обновитесь до 3.0.5, затем патч. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 VoimiX Опубликовано 22 Марта 2010 Жалоба Поделиться Опубликовано 22 Марта 2010 >>Сначала обновитесь до 3.0.5, затем патч. а можно тогда ссылку на обновление 3.0.5 и ссылку на сам патч. чтоб не запутаться Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Ritsuka Опубликовано 22 Марта 2010 Автор Жалоба Поделиться Опубликовано 22 Марта 2010 Обновление тут: http://clientarea.ibresource.ru/ Патч в первом посте этой темы. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 VoimiX Опубликовано 22 Марта 2010 Жалоба Поделиться Опубликовано 22 Марта 2010 т.е. я сначала устанавливаю обновление 3.0.5 , а потом уже суперантихакерский патч? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Ritsuka Опубликовано 22 Марта 2010 Автор Жалоба Поделиться Опубликовано 22 Марта 2010 Еще пару раз переспросите, чтобы уже наверняка Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 VoimiX Опубликовано 22 Марта 2010 Жалоба Поделиться Опубликовано 22 Марта 2010 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Ph-A Опубликовано 22 Марта 2010 Жалоба Поделиться Опубликовано 22 Марта 2010 т.е. я сначала устанавливаю обновление 3.0.5 , а потом уже суперантихакерский патч?Обновление тут: https://www.invisionpower.com/index.php?app...onent=downloadsИ патч ставить не надо. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 VoimiX Опубликовано 22 Марта 2010 Жалоба Поделиться Опубликовано 22 Марта 2010 упс, меня вообще запутали.... а можно это обновление скачать с clientarea.ibresource? просто я там https://www.invisionpower.com/ видимо не зарегистрирован Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Ritsuka Опубликовано 22 Марта 2010 Автор Жалоба Поделиться Опубликовано 22 Марта 2010 P(A), да, вот только придется искать русский язык (ну, или учить английский) и ставить патчи для нормальной работы с кириллицей VoimiX, он дает ссылку на клиент-центр IPS, где лежат дистрибутивы английской оригинальной версии IP.Board. Вам туда не надо, если у вас лицензия от IBR Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Вопрос
Ritsuka
Это не то же самое обновление!
Архив для 3.0.5 на IPS был обновлен, о чем гласит в частности второй пост в теме.
Скачать можно с официального форума:
http://community.invisionpower.com/topic/3...ecurity-update/
Или тут:
305_march_10.zip
Ссылка на комментарий
Поделиться на других сайтах
28 ответов на этот вопрос
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.