| yura3d |
Отправлено: 4 августа 2010 — 16:08 
|
ExBB Team
ExBB Developer
ExBB Mods Author
Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009
Откуда: Минск, Беларусь
Репутация: 353
|
altjo пишет:походу пропущен логин
Да, действительно. Приняли к сведению, исправим
Demosfen пишет:Вот и мне так казалось, но теперь чувствую, что тему обновления отправили в забои (извините, в этот момент клавиша "и краткое" не выдержала эмоционального порыва). Жаль, конечно, версия на новом движке реально не нужна (имхо) - аналогов навалом, да и надоевших глюков поначалу будет как положено любои бете. А обещанныи красавец с отточенным годами кодом так и уидет в небытие...
Ещё раз прошу прощения за "и краткое" и за как бы флуд вроде как не по теме.
В готовящейся сейчас к выходу файловой версии ExBB FM 1.0 RC2 по отношению к RC1 различных нововведений, обновлений, исправлений и дополнений в 3 раза больше, чем было у версии RC1 по сравнению с ExBB FM 1.0 Beta. Все эти наработки устраняют практически все известные на сегодня проблемы в работе ExBB, а также реализуют долгожданную многими функциональность. Однако не нужно забывать, что они требуют определённого времени для отладки и тестирования, поэтому на данный момент наблюдается задержка с выходом новой версии. Лучше выпустить стабильную отлаженную версию, пусть и немного позже, чем, выкладывая сырую версию, заниматься потом выпуском обновлений и разгребанием завалом с вопросами от пользователей |
| |
|
| Demosfen |
Отправлено: 5 августа 2010 — 09:39
|
Junior Member
Покинул форум
Сообщений всего: 72
Дата рег-ции: Сент. 2009
Откуда: Москва
Репутация: 4
|
yura3d пишет:
Если Вы хотите поучаствовать в тестировании обновлённого дистрибутива форума (на основе которого разрабатывается RC2), обращайтесь к администраторам (ко мне или Александру Михалицыну) в ЛС, Вам будет предоставлен доступ к соответствующему разделу форума
Но это же колоссальная ответственность! Спасибо за приглашение. |
| |
|
| yura3d |
Отправлено: 8 ноября 2010 — 01:35
|
ExBB Team
ExBB Developer
ExBB Mods Author
Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009
Откуда: Минск, Беларусь
Репутация: 353
|
Обнаружена уязвимость в форуме, которая позволяла злоумышленнику получать содержимое файлов на сервере. Для того, чтобы получить доступ к интересующим файлам, необходимо было знать их имена и расположение на сервере (т.е. фактически действовать в большинстве случаев методом подбора). Эта уязвимость не касается текстовой базы данных форума, каждый файл которой защищён от любых попыток доступа извне. Особую опасность данная уязвимость представляет собой только в том случае, если злоумышленник получит доступ к passwd или htpasswd-файлам на Вашем сервере. Первый тип файлов используется ОС Unix для хранения информация о пользователях ОС, второй тип файлов используют некоторые скрипты для работы с механизмом HTTP-авторизации. Оба типа файлов хранят критически важные данные (пароли пользователей).
Крайне рекомендуется установить следующую заплатку как можно быстрее!
Для устранения бреши откройте файл tools.php, найдите строку:
CODE: if ($fm->input['action'] === '') {
и замените её строкой:
CODE: if ($fm->input['action'] === '' || !preg_match('#^[a-zA-Z0-9\-_]+$#is', $fm->input['action'])) {
На этом всё!
На оценку риска, эксперименты и выпуск обновления ушло немногим более 40 минут с момента публикации сообщения об уязвимости. Команда разработчиков ExBB будет и далее прилагать все усилия, чтобы поддерживать высокий уровень безопасности и устойчивости ко взлому лучшего форума на файлах ExBB, а также максимально быстро реагировать на любые проблемы в области безопасности! |
| |
|
|
Сайт проекта ExBB
Чат на форуме
Помощь
Поиск
BanList
Описание: Продолжение
подскажите, где искать проблему? спасибо!
