Обновление безопасности для 3.0.5

[Ritsuka]

Это не то же самое обновление!

Архив для 3.0.5 на IPS был обновлен, о чем гласит в частности второй пост в теме.

 

Скачать можно с официального форума:

http://community.invisionpower.com/topic/3...ecurity-update/

 

Или тут:

305_march_10.zip

[Design_Nick]

Не понял. А что мы обновили тогда?

[KoMePcAHT]

тогда был просто хотфикс, а это судя по всему уже полностью готовый рабочий вариант без дырок.

[Ritsuka]

Ну, если вы пропустили, расскажу вкратце:

 

• 9 марта мною был проведен дефейс официального форума IPS, базирующийся на коде эксплоита для 2.3.6, выложенном тут,
  
• 10 марта был выпущен патч,
  
• 10 марта вечером - мною был повторен дефейс,
  
• 10-11 марта мне предложили помочь устранить уязвимости и протестировать патчи,
  
• 16 марта мы закончили работать, устранив порядка 30 дыр в парсере
  
• 18 марта - IPS обновило патч на официальном сайте.
  

 

Дыры в парсере, которые закрывает этот патч:

- перерасход всей доступной памяти сервера (такую няшку - да в подпись - ня?),

- перерасход CPU (100% загрузки сервера на все max_execution_time),

- разрушение HTML-разметки (свой html и css в подписях, страницах & etc),

- активная XSS (так и не доказано, что она есть, но мы сошлись на том, что она есть)))

 

Как-то так

[Design_Nick]

3.0.5. было уже давно (я ставил в декабре). Потом было обновление безопасности.

 

Что это?

 

update:

Ого себе.

А что такое "дефейс"? Ломал что-ли?

Изменено 19 Марта 2010 пользователем Design_Nick

[Ritsuka]

 

Скажем так, без этого патча положить любой форум на тройке не составит никакого труда.

[Design_Nick]

Мда уж. С одной стороны я безумного огорчен наличием таких недочетов у IPB, с другой так же рад, что общаюсь на этом форуме и с тобой особенно.

 

Спасибо!

[Arhar]

ять, тупой badWords по прежнему невероятно кретински написан

ну скажи ты им, что

		for( $i = 97; $i <= 122; $i++ )
	{
		$text = str_replace( "" . $i . ";", chr($i), $text );
	}

тут херится предыдущая замена всех on-евентов для защиты от xss

[Ritsuka]

Arhar, ок, сейчас напишу

 

Сам не знал, что они сделают в итоге, ибо перед релизом патча затихли и кода не давали. Как вижу - просто куча новых затычек + regexp для некоторых тегов вместо линейного поиска...)

Изменено 19 Марта 2010 пользователем Ritsuka

[Arhar]

надо попробовать написать парсер по алгоритму ЛастДрагона

[Design_Nick]

Я так понимаю нам простым "ненастоящим сварщикам" стоит ждать еще одно обновление безопасности?

[Ritsuka]

Design_Nick, нет, все ок, дыр больше вроде бы нет (по крайней мере, я не могу более ничего найти ^^').

 

А про переписывание парсера - это ребята играют в старинную мужскую игру - меряются МПХ. По факту очень маловероятно, что кто-то когда-то перепишет для IPS парсер BBCode ради каких-то там жалкий байтов экономии памяти и процессорного времени. Тем более что это еще не факт, что другой алгоритм будет надежнее и быстрее, учитывая требования к расширяемости и кастомизации кодов, заявленные в движке

[Ralf99]

Народ объясните. У меня стоит 3.0.5 и я еще не делал обновление безопасности.

Какое обновление мне сейчас ставить ?????

[Ritsuka]

А оно теперь только одно - последнее

 

Лежит в первом аттаче или на IPS. А вот то, что тут в новости на IBR - устаревшее. На IPS файл подменили на новый, а на IBR пока еще нет. Собственно, на что и обратил ваше внимание этой темой.

[LastDragon]

Ох уж это IPS... Почему нельзя было создать новую новость? Если бы не Ritsuka так и не узнал бы про него...

Пошел смотреть.

 

Посмотрел

1. Патч для английской версии (в некоторых местах нет mb_* и есть английские строки)
   
2. Как же они любят копипаст... надо им Макконелла и Фаулера что ли подарить
   
3. Похоже что изменения влиты из 3.1 т.к. в 3.0 метод showError() принимает 4 аргумента - у них 5 (последний похож на HTTP код)
   
4. Часть ошибок будет всегда в лог попадать, зачем? ХЗ
   
5. Алгоритм работы парсера остался таким же, добавились только методы очистки (точнее стал он каким то странным - закрывающий тэг ищется только если опции !== false. Хм*).
   
6. Цитаты теперь парсятся регекспами (хотя это мы уже обсуждали)
   

 

Жалко , я уж было подумал действительно перепишут парсер...

 

* Похоже часть уязвимостей могла остаться, но работать они похоже будет только для определенного порядка пользовательских ББ-кодов (хотя может и ошибаюсь, т.к. посмотрел мельком)

 

А про переписывание парсера - это ребята играют в старинную мужскую игру - меряются МПХ.

Ничем они не меряются - просто положили. Т.к. никого, по большому счету, не волнует насколько медленно это все работает - большие форумы тяжело на что-то другое перевести, как и тем кто купил лицензию тяжело её просто так выкинуть. А у ребят из IPS (как и из любой другой компании) только одна забота - как можно быстрее штамповать код (другой причины вставлять в 3 и более мест один и тоже код я не вижу).... ладно прервусь...

 

В архиве русифицированная версия одноименного файла из патча. Сам не тестировал. Никакой ответственности за возможный ущерб не несу.

usercpForms.zip

[Ritsuka]

А я этот файл и не менял ^^'

 

Это заплатка против malformed url, удаляющего аватарку пользователя

 

Почему нельзя было создать новую новость?

Стыдно

[VoimiX]

Народ, подскажите какой мне патч устанавливать

 

у меня сейчас стоит

 

Версия IP.Board v3.0.3 (ID:30010)

 

какой мне файл качать? Или какая-то должна быть последовательность установки?

 

что-то не очень понятно

 

заранее спасибо

[Ritsuka]

Сначала обновитесь до 3.0.5, затем патч.

[VoimiX]

>>Сначала обновитесь до 3.0.5, затем патч.

 

а можно тогда ссылку на обновление 3.0.5 и ссылку на сам патч.

 

чтоб не запутаться

[Ritsuka]

Обновление тут: http://clientarea.ibresource.ru/

 

Патч в первом посте этой темы.

[VoimiX]

т.е. я сначала устанавливаю обновление 3.0.5 , а потом уже суперантихакерский патч?

[Ritsuka]

Еще пару раз переспросите, чтобы уже наверняка

[VoimiX]

[Ph-A]

т.е. я сначала устанавливаю обновление 3.0.5 , а потом уже суперантихакерский патч?

Обновление тут: https://www.invisionpower.com/index.php?app...onent=downloads

И патч ставить не надо.

[VoimiX]

упс, меня вообще запутали....

 

а можно это обновление скачать с clientarea.ibresource?

 

просто я там https://www.invisionpower.com/ видимо не зарегистрирован

[Ritsuka]

P(A), да, вот только придется искать русский язык (ну, или учить английский) и ставить патчи для нормальной работы с кириллицей

 

VoimiX, он дает ссылку на клиент-центр IPS, где лежат дистрибутивы английской оригинальной версии IP.Board. Вам туда не надо, если у вас лицензия от IBR