Pradinis
Pagalba
Užsisakyk!
- Reklamą
- Hostingą
- El. pašto dėžutę
Užsisakyk!
Įrankiai
Pasidalink
- Visos temos
REKLAMA
PHPFusion - tai laisvai platinama nemokama turinio valdymo sistema (TVS), kurios pagalba galite greitai, lengvai ir
patogiai susikurti norimą internetinį puslapį. Plačiau apie sistemą...
Prisijungti
Šaukykla
ozzWANTED
2024 Sau. 17 01:01:00
Desperatiškus komentarus šaukykloje su accountu po mėnesio prasibuvimo, ištryniau. Pasaulis ir taip juodas. Įjungiam šviesą, prašviesės.
Majakas
2023 Gru. 10 19:12:39
Negaliu patikėti jog žinutės/pranešimai visi yra nuo 2008 m
Žmogus
2023 Rugs. 7 21:09:14
O gal BloodKiller pasijungs?
Apocal
2023 Rugs. 2 18:09:23
Nu davai nuveikiam kažką. Prisijungti kada visi čia .
Apocal
2023 Rugs. 2 00:09:18
Šiaip atėjau pažiūrėti ar dar lopas nesby yra ar koks ten buvo.
2024 Sau. 17 01:01:00
Desperatiškus komentarus šaukykloje su accountu po mėnesio prasibuvimo, ištryniau. Pasaulis ir taip juodas. Įjungiam šviesą, prašviesės.
Majakas
2023 Gru. 10 19:12:39
Negaliu patikėti jog žinutės/pranešimai visi yra nuo 2008 m
Žmogus
2023 Rugs. 7 21:09:14
O gal BloodKiller pasijungs?
Apocal
2023 Rugs. 2 18:09:23
Nu davai nuveikiam kažką
. Prisijungti kada visi čia .Apocal
2023 Rugs. 2 00:09:18
Šiaip atėjau pažiūrėti ar dar lopas nesby yra ar koks ten buvo.
Apklausa
Reklama 400x60
Php-Fusion v6.01.19 atnaujinimas(pavojinga saugumo spraga)
Parašė 
ozzWANTED 2009 lapkričio 28 06:11:12
ozzWANTED 2009 lapkričio 28 06:11:12
Problema pirmą kartą buvo aprašyta, vakar 2009 lapkričio 27 dieną, 3 valandą 28 minutės, ir pirmą kartą aprašyta Php-Fusion.co.uk support saito temoje:
NEW V6 HACK - BLANK SCREEN ??
Saugumo pataisymas buvo išplatintas, šiandien, 2009 lapkričio 27 dieną, 3 valandą 26 minutės Lietuvos laiku.
Vadinasi per beveik parą laiko galėjo būti užkrėsta daugybė puslapių.
Dar didelė tinklapių greičiausiai bus užkrėsta per artimiausias dvi dienas, kadangi ne kiekvienas kasdien tikrina Php-Fusion support tinklapius.
Vienintelė paguoda, kad užkrėsti buvo tik Php-Fusion v6 kartos vartotojai, naudojantys standartinę apklausos modifikaciją(member_poll_panel).
Siųstis Php-Fusion v6.01.19 atnaujinimą - TIK v6.01.18 naudotojams (3.1kB)
Siųstis Php-Fusion v6.01.19 pilną (2,2 MB)
Norėdami atsinaujinti V6 versiją į V7, turėtume atsisiųsti šį paketą:
Siųstis Php-Fusion v7.00.05 pilną (2,8 MB)
--------------------
Visiems kurie modifikavo ar kitaip keitė savo Php-Fusion sistemą ar nenori perrašyti Php-Fusion failo dėl kažkokių tai asmenių ar kitų priežasčių, tai informuoju, jog
"/infusions/member_poll_panel/member_poll_panel.php" faile, po 12-13'ąja eilutėmis:
if (!defined("IN_FUSION")) { header("Location: ../../index.php"); exit; }
if (isset($poll_id) && !isNum($poll_id)) fallback("index.php");
if (isset($poll_id) && !isNum($poll_id)) fallback("index.php");
buvo pridėta 14-oji eilutė:
if (isset($voteoption) && !isNum($voteoption)) fallback("index.php");
Kadangi mes neskatiname tinklapių nulaužinėjimų ir t.t., daugiau informacijos tikrai nepaminėsiu, bet esmė ta, kad ši saugumo spraga tokia rimta(ne tik paprasti XSS), kad bet kas galėtų... Na, anyway, saldžių sapnų ir sėkmės visiems Php-Fusion v6 tinklapių savininkams šiandien. Taip pat linkiu neturėti priešų.
Man tik kiek keista yra tai, kad v7.00.5 versijoje ir matyt jau nuo v7 pirmosios versijos, ši spraga jau buvo ištaisyta. Ir tas kas rašė v7 branduolį, aiškiai turėjo pastebėti šią saugumo spragą, kadangi ją net ir ištaisyti sugebėjo. Keisti kad tada praleido v6 kažkaip :/.
Radėjas - @smokeman
Pagal - @starefossen
Vertė, informavo, papildė @ozzWANTED
30 Komentarai · 7308 Skaityta ·
Komentarai
darKy
2009 lapkričio 28 07:11:51
o žiurėk imetu upgarde ir tą panele tai jau viskas, ar dar ką reikia keisti?
o žiurėk imetu upgarde ir tą panele tai jau viskas, ar dar ką reikia keisti?
ArturasS
2009 lapkričio 28 07:11:04
Blogai, blogai, kai aš dar žiurėjau naujienas nebebuvo šito, pažiurėjau harį poterį jau tu išvertei Gailas aišku...
Blogai, blogai, kai aš dar žiurėjau naujienas nebebuvo šito, pažiurėjau harį poterį jau tu išvertei
Gailas aišku...
MaFetas
2009 lapkričio 28 11:11:56
Pas mane buvo sukurta kazkokia panele su pavadinimu "System" ir nerode pagrindinio puslapio jokio joje turinio nebuvo
Pas mane buvo sukurta kazkokia panele su pavadinimu "System" ir nerode pagrindinio puslapio
jokio joje turinio nebuvo
Rytis
2009 lapkričio 28 12:11:33
ozzWANTED, pamaniau, esi gudrus snukis, tai gal savo naujienoms įdėtum RSS? Bent jau man asmeniškai būtų lengviau tokias naujienas gaut
ozzWANTED, pamaniau, esi gudrus snukis, tai gal savo naujienoms įdėtum RSS? Bent jau man asmeniškai būtų lengviau tokias naujienas gaut
sidicer
2009 lapkričio 28 16:11:57
snd ryte atsikeliu, nueinu i web. ziuriu, paneliu nebera, Tekstas
keliames i Ltg
Galvoju, or shudziai
Tai cia per sita? Ane ? :
snd ryte atsikeliu, nueinu i web. ziuriu, paneliu nebera, Tekstas
keliames i Ltg
Galvoju, or shudziai
Tai cia per sita? Ane ? :
Nostesi
2009 lapkričio 28 19:11:22
visvien dar liko kelios klaidos patarciau nesimest o tiesiog kuriam laikui istrint member poll panel ateityje bus manau dar keli pataisymai
visvien dar liko kelios klaidos patarciau nesimest o tiesiog kuriam laikui istrint member poll panel ateityje bus manau dar keli pataisymai
Samp_Tevas
2009 lapkričio 28 20:11:05
Tai kaip supratau, tereiketu po 13 eilute iterpti 14 eilute ir viskas susitvarkytu?
Tai kaip supratau, tereiketu po 13 eilute iterpti 14 eilute ir viskas susitvarkytu?
Nostesi
2009 lapkričio 28 21:11:58
reiktu kokiam ozz wantedui kuris ismano php branduoli naktele paskirt musu geroviai ir apsoliuciai visa fusiona perziuretsuprantu ner laiko bet bet
reiktu kokiam ozz wantedui kuris ismano php branduoli naktele paskirt musu geroviai ir apsoliuciai visa fusiona perziuretsuprantu ner laiko bet bet
Nostesi
2009 lapkričio 28 22:11:43
ne rmt reiktu perziuret asmeniskai zinau pora vietu kur galimas yra pazeidziamusmas BET TAI TIK MANO SPELIONES iki siol nepavyko to irodytu bent ant 18 fusiono
ne rmt reiktu perziuret asmeniskai zinau pora vietu kur galimas yra pazeidziamusmas BET TAI TIK MANO SPELIONES iki siol nepavyko to irodytu bent ant 18 fusiono
Nostesi
2009 lapkričio 28 23:11:39
nu galiu tau si skype parodyt 15 fusiono spragas tik po to apsimysi is dziaugsmo pasijutes kakeriu!
nu galiu tau si skype parodyt
15 fusiono spragas tik po to apsimysi is dziaugsmo pasijutes kakeriu!
Rytis
2009 lapkričio 29 11:11:50
Neturi jis jokių spragų. Ar žmogus, kuris neskiria java nuo javascript ir nesupranta, kaip pakeisti tekstus locale failuose, ras 18 kritinių klaidų, kurių per metus nesugeba rasti rimti programuotojai?
----------------------------------
Redagavo Rytis 2009 Lap. 29 11:11:10
Neturi jis jokių spragų. Ar žmogus, kuris neskiria java nuo javascript ir nesupranta, kaip pakeisti tekstus locale failuose, ras 18 kritinių klaidų, kurių per metus nesugeba rasti rimti programuotojai?
----------------------------------
Redagavo Rytis 2009 Lap. 29 11:11:10
Sarunas20
2009 lapkričio 29 18:11:55
ka ten zinai kaip jie iesko tu klaidu
Pas mane ir siand. geras
Hack attempts: 1 attempt(s), blocked
ka ten zinai kaip jie iesko tu klaidu
Pas mane ir siand. geras
Hack attempts: 1 attempt(s), blocked
Jaunelis
2009 lapkričio 29 20:11:02
Jo sutinku su kažkuo ten kas rašė jog reiktu naktelę prie fusion pasedėt.Butu special for Lietuvos bendruomenej DD butu mažiau pažeidžiamas fusionas
Jo sutinku su kažkuo ten kas rašė jog reiktu naktelę prie fusion pasedėt
.Butu special for Lietuvos bendruomenej DD butu mažiau pažeidžiamas fusionas
Kelmas
2009 gruodžio 1 10:12:15
Dar siulyčiau užsitaisyti klaidą viena, nes paskui kad neprasidėtu tokie "FIASKO" (gal kas sugalvos nutrint forume tikrinima, nes galvos kad jis yra ant PHP-FUSION 6).
Maincore.php faile susirandam šita eilute:
Keičiam į:
----------------------------------
Redagavo Kelmas 2009 Gru. 1 10:12:23
Dar siulyčiau užsitaisyti klaidą viena, nes paskui kad neprasidėtu tokie "FIASKO" (gal kas sugalvos nutrint forume tikrinima, nes galvos kad jis yra ant PHP-FUSION 6).
Maincore.php faile susirandam šita eilute:
$lastvisited = $_COOKIE['fusion_lastvisit'];
Keičiam į:
$lastvisited = isNum($_COOKIE['fusion_lastvisit']) ? $_COOKIE['fusion_lastvisit'] : time();
----------------------------------
Redagavo Kelmas 2009 Gru. 1 10:12:23
Rašyti komentarą
Prisijunkite, norėdami parašyti komentarą.
Reitingai
Balsuoti gali tik nariai.
Prašome prisijungti arba prisiregistruoti.
Prašome prisijungti arba prisiregistruoti.
|
