IP.Board 3.0.5 Обновление системы безопасности

[Ph-A]

Что-то никто не опубликовал 1 апрельское обновление безопасности.

 

IP.Board 3.0.5 Security Update

 

 

Незначительных дефект был обнаружен в IP.Board 3.0.5, который позволяет злоумышленнику просматривать изображения в произвольном каталоге на сервере.

 

Этот недостаток не позволяет злоумышленнику загружать код или скачать файлы, кроме изображений. Кроме того, чтобы использование эксплоит необходимо, чтобы злоумышленник знал путь к папке хранятся изображения.

 

3.0.5_3.31.2010.zip

 

Ручное обновление.

admin/sources/classes/member/memberFunctions.php

Найти

//$catName = IPSText::alphanumericalClean( $catName ); // Commented out because alphanumericalClean removes spaces

Заменить на

$catName = IPSText::alphanumericalClean( $catName, ' ' );

Изменено 2 Апреля 2010 пользователем P(A)

[Ritsuka]

P(A), я посчитал его недостойным внимания и по сути не представляющим вообще никакой опасности.

 

Кстати, у вас некорректно скопировался код для ручного обновления

[Ph-A]

Кстати, у вас некорректно скопировался код для ручного обновления

Спасибо. Поправил. Но странно ....

[LastDragon]

Патч для IBR версии можно скачать здесь (для тех кому лень заменить одну строку). Изменено 2 Апреля 2010 пользователем LastDragon

[eXciTer]

Крепнет уверенность, что это такая своеобразная первоапрельская шутка.

 

// Commented out because alphanumericalClean removes spaces

 

и это меняется на на функцию, которая вместо пробелов ставит... пробелы ))

[Ph-A]

Крепнет уверенность, что это такая своеобразная первоапрельская шутка.

Вечером 1 апреля, на форуме invisionpower.com, уточняли, а не шутка ли это. На что был официальный ответ, что в разделе Company News and Updates шуток не бывает.