phpbb by przemo 1.12.6 – poprawka #4

Opublikowany przez dnia 25 kwietnia 2010 w newsy, phpBB, wszystkie | 0 komentarzy

Pojawił się średnio groźny błąd w skrypcie forów dyskusyjnych phpBB by Przemo 1.12.6 – umożliwia atakującemu znaczne spowolnienie forum.

Przemo wydał poprawkę – jest bardzo prosta, wystarczy nadpisać plik /includes/sessions.php
W linku poniżej ten plik oraz pliki check_files.php i check_data.php – to dla osób, które mają aktualną wersję czyli: 1.12.6 p3.

Osoby, które nie mają aktualnej wersji powinny to zrobić, a jeżeli z jakiś powodów nie mogą to powinny nadpisać tylko plik /includes/sessions.php pod warunkiem, że nie modyfikowały wcześniej tego pliku. Jego poprzednia wielkość to: 29.921 jeżeli jest inna, to musicie wprowadzić zmiany ręcznie porównując plik.

czytaj dalej

phpbb by przemo – ważna poprawka

Opublikowany przez dnia 04 kwietnia 2010 w newsy, phpBB, wszystkie | 3 komentarzy

Dziś została wydana poprawka do skryptu forów dyskusyjnych phpBB by Przemo.
Jak napisał Przemo:

Dzisiaj jeden użytkownik znalazł w kodzie stary i zapomniany mechanizm, który napisałem wiele lat temu na prośbę policji w związku z akcją wymierzoną przeciw jednemu forum pedofilskiemu opartemu na moim skrypcie.
Mechanizm ten miał umożliwiać zdalne zablokowanie forum dyskusyjnego z domeny przemo.org (tylko ja miałem możliwość zablokowania forum) w sytuacji krytycznej, lecz nigdy nie został użyty, nie było takiej potrzeby, nie było też sytuacji, że jakieś forum zablokowałem za usunięcie stopki a jak wiecie takie fora istnieją. Nie znajdziecie nigdzie w sieci informacji, że czyjeś forum zostało zablokowane.
Jednak w połączeniu z możliwością włamania na przemo.org istnieje ryzyko, że włamywacz mógłby zablokować jakieś forum. Dla ścisłości – nie ma możliwości włamania na Wasze fora, ale mógłby je zablokować, wówczas tylko ja mógłbym je odblokować i jeżeli tak się stanie proszę do mnie napisać.

Ta poprawka ma na celu usunięcie z forum tego zapomnianego mechanizmu. Z ręką na sercu – zapomniałem o tym, to było wiele lat temu i gdybym sobie o tym przypomniał usunął bym go we wcześniejszych wersjach, gdyż stanowi w/w zagrożenie.

W załączniku załączam plik gg.php który należy rozpakować i nadpisać plik znajdujący się w katalogu głównym forum.

Niebawem pojawi się wersja 1.12.7, która oprócz kilku dodatkowych zabezpieczeń, kilku optymalizacji, SB ajax, będzie uwzględniała tą poprawkę, lecz koniecznie nadpiszcie ten plik już teraz.

Poprawka dostępna jest w temacie http://www.przemo.org/phpBB2/forum/viewtopic.php?p=530900#530900 i proszę pobierać ją wyłącznie z tego adresu.

Kilka słów mojego komentarza do sprawy.

czytaj dalej

phpbb by przemo 1.12.7 w przygotowaniu

Opublikowany przez dnia 26 lutego 2010 w newsy, phpBB, wszystkie | 7 komentarzy

Przygotowujemy wersję 1.12.7. Ponieważ zrodziły się wątpliwości co do zabezpieczeń obecnej wersji przytoczę wpis rozwiewający te obawy:

W temacie http://www.przemo.org/phpBB2/forum/viewtopic.php?p=519576 Przemo napisał:

Wersja 1.12.6 nie zawiera żadnych poważnych luk, jeśli by takie były wyszła by na szybko poprawka do 1.12.6! Wersja 1.12.7 jest wydawana tylko po to aby zebrać wiele drobnych błędów i dorobić dodatkowe zabezpieczenia, ponieważ zebrało się tego trochę. Przy okazji będzie tez kilka nowych małych, fajnych i zupełnie nie obciążających dodatków.
Będzie kilka poprawek wydajności oraz nowy shoutbox na ajaxie, który znacznie oszczędza transfer w porównaniu z aktualnym shoutboxem i jest łatwiejszy i przyjemniejszy w ożyciu.

Jeśli znasz jakiś błąd w wersji 1.12.6 zgłoś go w temacie http://www.przemo.org/phpBB2/forum/viewtopic.php?t=89907.

czytaj dalej

zgłoś błędy w phpbb by przemo 1.12.6

Opublikowany przez dnia 13 lutego 2010 w newsy, phpBB, wszystkie | 0 komentarzy

przemoorg

Niebawem pojawi się wersja 1.12.7, której głównym zadaniem będzie wyeliminowanie kilku luk bezpieczeństwa. Dodatkowo jeżeli już wychodzi nowa wersja to zostaną poprawione zgłoszone błędy.

Mamy do wszystkich prośbę: jeżeli ktoś z Was zna jakieś błędy, które nie są wymienione w liście poniżej proszę o informacje.
Dotyczy to tylko ewidentnych błędów, nie zgłaszajcie tutaj swoich problemów z forum, które na 100% nie są winą skryptu.
Głównie mam na myśli błędy krytyczne w panelu administracyjnym, możliwość wgrywania „lewych” plików przez admina

Proszę tutaj nie pisać żadnych pytań kiedy będzie nowa wersja, co w niej będzie itd.
Napiszę tylko, że będzie ona niebawem i będzie zawierać ręczną instrukcję aktualizacji.

Lista luk i błędów (niektóre z tych błędów są już usunięte w ostatnich poprawkach):

czytaj dalej

włamanie na przemo.org

Opublikowany przez dnia 01 stycznia 2010 w newsy, phpBB, wszystkie | 1 komentarz

przemoorg

Jak informuje Przemo w temacie http://www.przemo.org/phpBB2/forum/viewtopic.php?t=88775

Ktoś się włamał do serwisu i podmienił stronę główną. Dostał się tylko do bazy danych, gdzie wyłączył forum i dał swój komunikat.
Siedzieliśmy razem z Tavaro do 5 rano i nie znaleźliśmy w logach nic podejrzanego. Prawdopodobnie przyczyną włamania była jakaś luka w serwerze, która umożliwiała dostęp do bazy danych lub odczytu pliku config.php z poziomu innego użytkownika serwera. Jak się dowiem więcej od admina to napiszę.

Przy tej okazji podkreslam, że wszelkie bazy danych, w których sa zapisane Wasze hasła, wszędzie są i zawsze będą podatne na niepowołany dostęp. Dlatego też do wszystkich serwisów powinniście mieć osobne hasło, a przynajmniej do tych kluczowych. Co prawda hasła w bazie są zakodowane MD5, jednak jeśli są krótkie to mogą zostać łatwo złamane.

Prosimy o zmianę haseł do kont użytkowników. Jeśli używacie tego samego hasła w innych serwisach – zmieńcie je.

czytaj dalej

poprawka overlib dla firefoxa 3.5

Opublikowany przez dnia 19 grudnia 2009 w newsy, phpBB, wszystkie | 0 komentarzy

przemoorg

Jak zauważył chelloPL i Tavaro w skrypcie phpBB by Przemo 1.12.6 p3 na nowym Firefox 3.5 jest problem z efektem overlib (nie ma przeźroczystości)

Przemo zaktualizował ostatnią wersję 1.12.6 aby wyeliminować ten błąd, jednak nie powoduje to, że wychodzi kolejna wersja modyfikacji.
Zmiana ta jest bardzo mała nie ma wpływu na nic, nie powoduje zmian w check_files, dotyczy tylko jednego pliku w stylach: overall_header.tpl

Jeżeli chcecie dokonać tej poprawki zapraszam na forum supportu po szczegółowe informacje.

czytaj dalej