91. Дядя Митя - 24 ноября 2010 — 14:35 - перейти к сообщению
yura3d, Я вот что-то наверное непонял. Установил я последние заплатки которые призванны не дать злоумышленнику получить доступ к содержимому файлов на сервере а доступ так и есть, то есть я могу скачивать любой файл зная его расположение. Юра, что именно даёт это обновление безопасности?
92. yura3d - 24 ноября 2010 — 15:38 - перейти к сообщению
Дядя Митя пишет:
yura3d, Я вот что-то наверное непонял. Установил я последние заплатки которые призванны не дать злоумышленнику получить доступ к содержимому файлов на сервере а доступ так и есть, то есть я могу скачивать любой файл зная его расположение. Юра, что именно даёт это обновление безопасности?
Изначально, если сервер правильно настроен, Вы можете по HTTP получить доступ только к файлам, расположенным в соответствующей для этого папке (как правило, для хранения html-страниц, скриптов, изображений и прочих Ваших файлов используется папка www, public_html, domains и др.) Однако одним содержимым Ваших сайтов содержимое сервера не ограничивается. На верхнем уровне файловой иерархии сервера могут располагаться важные файлы, храняющие, например, пароли FTP-пользователей, данные механизма сессий PHP, файлы таблиц и индексов MySQL и пр. Получить доступ к этим файлам, прописав путь к ним в браузере, Вы не можете просто потому, что они располагаются уровнем выше. Для PHP-скриптов же, как правило, таких ограничений нет, и прочитать можно практически любой файл. Брешь в безопасности ExBB как раз и предоставляла возможность чтения любых файлов на сервере, в том числе системных. На данный момент все найденные лазейки уже закрыты с помощью выпуска последних заплаток
93. attachMENT - 27 ноября 2010 — 12:43 - перейти к сообщению
а можно все обновления выкладывать в готовых файлах, чтоб не ковыряться в файлах?
94. Defenderyk - 27 ноября 2010 — 13:17 - перейти к сообщению
attachMENT пишет:
а можно все обновления выкладывать в готовых файлах, чтоб не ковыряться в файлах?
думаю нет, т.к у каждого какие то свои изменения могли быть и лучше выкладывать как добавлять, чем готовые.
ДА и вроде обещают уже буквально вот-вот RC2 я надеюсь)
95. yura3d - 30 ноября 2010 — 22:11 - перейти к сообщению
Добавлена возможность использования HTML в заголовках званий пользователей, зависящих от кол-ва сообщения (страница Звания в админке). Также исправлены проблемы с отображением заголовков званий в админке при их редактировании. Подробности здесь
96. Lion - 11 декабря 2010 — 10:11 - перейти к сообщению
класс!
97. lester - 20 декабря 2010 — 19:22 - перейти к сообщению
в последней версии 11 опера тоже помагает
98. dock88 - 7 января 2011 — 21:40 - перейти к сообщению
не правильно перемесчает разделы форума... в чем может быть проблема??
Имееться в виду когда перемесчаешь вверх вместо одного уровня на два выше поднимает.. получаеться такая каша...
Имееться в виду когда перемесчаешь вверх вместо одного уровня на два выше поднимает.. получаеться такая каша...
99. yura3d - 8 января 2011 — 02:12 - перейти к сообщению
dock88
Выложите Ваш файл data/users.php, посмотрим. Вами должны быть обязательно установлены все обновления из первого сообщения этой темы, если дистрибутив скачивался раньше их выхода
Выложите Ваш файл data/users.php, посмотрим. Вами должны быть обязательно установлены все обновления из первого сообщения этой темы, если дистрибутив скачивался раньше их выхода
100. dock88 - 10 января 2011 — 19:37 - перейти к сообщению
yura3d пишет:
dock88
Выложите Ваш файл data/users.php, посмотрим. Вами должны быть обязательно установлены все обновления из первого сообщения этой темы, если дистрибутив скачивался раньше их выхода
Выложите Ваш файл data/users.php, посмотрим. Вами должны быть обязательно установлены все обновления из первого сообщения этой темы, если дистрибутив скачивался раньше их выхода
обновлений установлены....
файл во вложении
101. gamleton - 11 января 2011 — 19:51 - перейти к сообщению
У меня короткий вопрос есть ли на сайте дистрибутив форума, со всеми заплатками на данный момент, для скачивания? Если нет, то выложите пожалуйста.
102. BON - 11 января 2011 — 20:47 - перейти к сообщению
gamleton, все заплатки которые касаются безопасности включены в дистрибутив, а что касается модов то уже ручками
103. Defenderyk - 11 января 2011 — 23:04 - перейти к сообщению
вот бы уже RC2) Вот это бум будет на форуме
104. gamleton - 12 января 2011 — 09:55 - перейти к сообщению
BON пишет:
gamleton, все заплатки которые касаются безопасности включены в дистрибутив
То есть дистрибутив по этой ссылке:
Цитата:
ExBB_FM_1.0_RC1.tar.gz
871 Кб
(дистрибутив обновлён 15.07.2009 и уже включает перечисленные ниже глобальные и критичиские обновления)
871 Кб
(дистрибутив обновлён 15.07.2009 и уже включает перечисленные ниже глобальные и критичиские обновления)
содержит в себе
Цитата:
Обновление от 14.11.2010
(устранена уязвимость, позволяющая злоумышленнику получить доступ к содержимому файлов на сервере)
Обновление от 14.11.2010
(устранена уязвимость, позволяющая злоумышленнику получить доступ к содержимому файлов на сервере)
Я правильно понимаю?
105. BON - 12 января 2011 — 10:21 - перейти к сообщению
gamleton, последняя заплатка была 14.11.2010 поэтому, какие заплатки были до него и этого числа включены в дистрибутив обязательно, т.к. это касается безопасности форума
(Добавление)
Качайте и юзайте скрипт. Вручную ни каких заплаток вам не надо ставить
(Добавление)
Качайте и юзайте скрипт. Вручную ни каких заплаток вам не надо ставить