phpbb by przemo 1.12.6 – poprawka #4

Opublikowany przez dnia 25 kwietnia 2010 w newsy, phpBB, wszystkie | 0 komentarzy

Pojawił się średnio groźny błąd w skrypcie forów dyskusyjnych phpBB by Przemo 1.12.6 – umożliwia atakującemu znaczne spowolnienie forum.

Przemo wydał poprawkę – jest bardzo prosta, wystarczy nadpisać plik /includes/sessions.php
W linku poniżej ten plik oraz pliki check_files.php i check_data.php – to dla osób, które mają aktualną wersję czyli: 1.12.6 p3.

Osoby, które nie mają aktualnej wersji powinny to zrobić, a jeżeli z jakiś powodów nie mogą to powinny nadpisać tylko plik /includes/sessions.php pod warunkiem, że nie modyfikowały wcześniej tego pliku. Jego poprzednia wielkość to: 29.921 jeżeli jest inna, to musicie wprowadzić zmiany ręcznie porównując plik.

czytaj dalej

phpbb by przemo – ważna poprawka

Opublikowany przez dnia 04 kwietnia 2010 w newsy, phpBB, wszystkie | 3 komentarzy

Dziś została wydana poprawka do skryptu forów dyskusyjnych phpBB by Przemo.
Jak napisał Przemo:

Dzisiaj jeden użytkownik znalazł w kodzie stary i zapomniany mechanizm, który napisałem wiele lat temu na prośbę policji w związku z akcją wymierzoną przeciw jednemu forum pedofilskiemu opartemu na moim skrypcie.
Mechanizm ten miał umożliwiać zdalne zablokowanie forum dyskusyjnego z domeny przemo.org (tylko ja miałem możliwość zablokowania forum) w sytuacji krytycznej, lecz nigdy nie został użyty, nie było takiej potrzeby, nie było też sytuacji, że jakieś forum zablokowałem za usunięcie stopki a jak wiecie takie fora istnieją. Nie znajdziecie nigdzie w sieci informacji, że czyjeś forum zostało zablokowane.
Jednak w połączeniu z możliwością włamania na przemo.org istnieje ryzyko, że włamywacz mógłby zablokować jakieś forum. Dla ścisłości – nie ma możliwości włamania na Wasze fora, ale mógłby je zablokować, wówczas tylko ja mógłbym je odblokować i jeżeli tak się stanie proszę do mnie napisać.

Ta poprawka ma na celu usunięcie z forum tego zapomnianego mechanizmu. Z ręką na sercu – zapomniałem o tym, to było wiele lat temu i gdybym sobie o tym przypomniał usunął bym go we wcześniejszych wersjach, gdyż stanowi w/w zagrożenie.

W załączniku załączam plik gg.php który należy rozpakować i nadpisać plik znajdujący się w katalogu głównym forum.

Niebawem pojawi się wersja 1.12.7, która oprócz kilku dodatkowych zabezpieczeń, kilku optymalizacji, SB ajax, będzie uwzględniała tą poprawkę, lecz koniecznie nadpiszcie ten plik już teraz.

Poprawka dostępna jest w temacie http://www.przemo.org/phpBB2/forum/viewtopic.php?p=530900#530900 i proszę pobierać ją wyłącznie z tego adresu.

Kilka słów mojego komentarza do sprawy.

czytaj dalej