Перейти к контенту
  • 0

Обновление безопасности для 3.0.5


Ritsuka

Вопрос

Это не то же самое обновление!

Архив для 3.0.5 на IPS был обновлен, о чем гласит в частности второй пост в теме.

 

Скачать можно с официального форума:

http://community.invisionpower.com/topic/3...ecurity-update/

 

Или тут:

305_march_10.zip

Ссылка на комментарий
Поделиться на других сайтах

Рекомендуемые сообщения

  • 0

Ну, если вы пропустили, расскажу вкратце:

 

  • 9 марта мною был проведен дефейс официального форума IPS, базирующийся на коде эксплоита для 2.3.6, выложенном тут,
  • 10 марта был выпущен патч,
  • 10 марта вечером - мною был повторен дефейс,
  • 10-11 марта мне предложили помочь устранить уязвимости и протестировать патчи,
  • 16 марта мы закончили работать, устранив порядка 30 дыр в парсере
  • 18 марта - IPS обновило патч на официальном сайте.

 

Дыры в парсере, которые закрывает этот патч:

- перерасход всей доступной памяти сервера (такую няшку - да в подпись - ня?),

- перерасход CPU (100% загрузки сервера на все max_execution_time),

- разрушение HTML-разметки (свой html и css в подписях, страницах & etc),

- активная XSS (так и не доказано, что она есть, но мы сошлись на том, что она есть)))

 

Как-то так :D

Ссылка на комментарий
Поделиться на других сайтах

  • 0

3.0.5. было уже давно (я ставил в декабре). Потом было обновление безопасности.

 

Что это?

 

update:

Ого себе.

А что такое "дефейс"? Ломал что-ли?

Изменено пользователем Design_Nick
Ссылка на комментарий
Поделиться на других сайтах

  • 0

Мда уж. С одной стороны я безумного огорчен наличием таких недочетов у IPB, с другой так же рад, что общаюсь на этом форуме и с тобой особенно.

 

Спасибо!

Ссылка на комментарий
Поделиться на других сайтах

  • 0

ять, тупой badWords по прежнему невероятно кретински написан

ну скажи ты им, что

		for( $i = 97; $i <= 122; $i++ )
	{
		$text = str_replace( "" . $i . ";", chr($i), $text );
	}

тут херится предыдущая замена всех on-евентов для защиты от xss

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Arhar, ок, сейчас напишу :D

 

Сам не знал, что они сделают в итоге, ибо перед релизом патча затихли и кода не давали. Как вижу - просто куча новых затычек + regexp для некоторых тегов вместо линейного поиска...)

Изменено пользователем Ritsuka
Ссылка на комментарий
Поделиться на других сайтах

  • 0
Я так понимаю нам простым "ненастоящим сварщикам" стоит ждать еще одно обновление безопасности?
Ссылка на комментарий
Поделиться на других сайтах

  • 0

Design_Nick, нет, все ок, дыр больше вроде бы нет (по крайней мере, я не могу более ничего найти ^^').

 

А про переписывание парсера - это ребята играют в старинную мужскую игру - меряются МПХ. По факту очень маловероятно, что кто-то когда-то перепишет для IPS парсер BBCode ради каких-то там жалкий байтов экономии памяти и процессорного времени. Тем более что это еще не факт, что другой алгоритм будет надежнее и быстрее, учитывая требования к расширяемости и кастомизации кодов, заявленные в движке :D

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Народ объясните. У меня стоит 3.0.5 и я еще не делал обновление безопасности.

Какое обновление мне сейчас ставить ?????

Ссылка на комментарий
Поделиться на других сайтах

  • 0

А оно теперь только одно - последнее :D

 

Лежит в первом аттаче или на IPS. А вот то, что тут в новости на IBR - устаревшее. На IPS файл подменили на новый, а на IBR пока еще нет. Собственно, на что и обратил ваше внимание этой темой.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Ох уж это IPS... Почему нельзя было создать новую новость? Если бы не Ritsuka так и не узнал бы про него...

Пошел смотреть.

 

Посмотрел

  1. Патч для английской версии (в некоторых местах нет mb_* и есть английские строки)
  2. Как же они любят копипаст... надо им Макконелла и Фаулера что ли подарить
  3. Похоже что изменения влиты из 3.1 т.к. в 3.0 метод showError() принимает 4 аргумента - у них 5 (последний похож на HTTP код)
  4. Часть ошибок будет всегда в лог попадать, зачем? ХЗ
  5. Алгоритм работы парсера остался таким же, добавились только методы очистки (точнее стал он каким то странным - закрывающий тэг ищется только если опции !== false. Хм*).
  6. Цитаты теперь парсятся регекспами (хотя это мы уже обсуждали)

 

Жалко :D, я уж было подумал действительно перепишут парсер...

 

* Похоже часть уязвимостей могла остаться, но работать они похоже будет только для определенного порядка пользовательских ББ-кодов (хотя может и ошибаюсь, т.к. посмотрел мельком)

 

А про переписывание парсера - это ребята играют в старинную мужскую игру - меряются МПХ.

Ничем они не меряются - просто положили. Т.к. никого, по большому счету, не волнует насколько медленно это все работает - большие форумы тяжело на что-то другое перевести, как и тем кто купил лицензию тяжело её просто так выкинуть. А у ребят из IPS (как и из любой другой компании) только одна забота - как можно быстрее штамповать код (другой причины вставлять в 3 и более мест один и тоже код я не вижу).... ладно прервусь...

 

В архиве русифицированная версия одноименного файла из патча. Сам не тестировал. Никакой ответственности за возможный ущерб не несу.

usercpForms.zip

Ссылка на комментарий
Поделиться на других сайтах

  • 0

А я этот файл и не менял ^^'

 

Это заплатка против malformed url, удаляющего аватарку пользователя :D

 

Почему нельзя было создать новую новость?

Стыдно ;)

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Народ, подскажите какой мне патч устанавливать

 

у меня сейчас стоит

 

Версия IP.Board v3.0.3 (ID:30010)

 

какой мне файл качать? Или какая-то должна быть последовательность установки?

 

что-то не очень понятно

 

заранее спасибо

Ссылка на комментарий
Поделиться на других сайтах

  • 0

>>Сначала обновитесь до 3.0.5, затем патч.

 

а можно тогда ссылку на обновление 3.0.5 и ссылку на сам патч.

 

чтоб не запутаться

Ссылка на комментарий
Поделиться на других сайтах

  • 0
т.е. я сначала устанавливаю обновление 3.0.5 , а потом уже суперантихакерский патч?

Обновление тут: https://www.invisionpower.com/index.php?app...onent=downloads

И патч ставить не надо.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

упс, меня вообще запутали....

 

а можно это обновление скачать с clientarea.ibresource?

 

просто я там https://www.invisionpower.com/ видимо не зарегистрирован

Ссылка на комментарий
Поделиться на других сайтах

  • 0

P(A), да, вот только придется искать русский язык (ну, или учить английский) и ставить патчи для нормальной работы с кириллицей :D

 

VoimiX, он дает ссылку на клиент-центр IPS, где лежат дистрибутивы английской оригинальной версии IP.Board. Вам туда не надо, если у вас лицензия от IBR ;)

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.