第 1 頁 (共 1 頁)
[討論] phpBB v2.0.7a 釋出
發表於 : 2004-03-20 03:13
由 小竹子
ㄜ.................又出了安全性修正嚕!
代碼: 選擇全部
Changes: - Fixed several vulnerabilities in modcp - Robert Lavierck - Changed whois lookup address within admin index - Fixed potential vulnerability in viewtopic postorder - 2.0.6d - Updates to cope with Zend Optimizer 2.5 problems - 2.0.6d - jetset - Force specialcharing of redirect variable in login - Pit - Fixed potential vulnerability in viewtopic postdays - GulfTech Security Research - Fixed potential vulnerability in viewforum topicdays - GulfTech Security Research - Fixed potential vulnerability in modcp - Fixed potential vulnerability in avatar gallery - Fixed redirect problems - 2.0.7a - Fixed sql injection vulnerability in search - 2.0.7a
官方有公告嚕!把重點簡單翻譯一下!
代碼: 選擇全部
我們發現在search.php裡有安全疑慮。 phpBB 2.0.x 的全部現有的使用者強烈建議按照下面更新方式更新升級。
原文來源:
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=182281
發表於 : 2004-03-20 03:26
由 Mac
真快,連官方的討論版都還沒公布呢 @@
~Mac
發表於 : 2004-03-20 04:09
由 Mac
由 2.0.7 升級至 2.0.7a
search.php
尋找\r
[php]<?php
$show_results = ( isset($HTTP_POST_VARS['show_results']) ) ? $HTTP_POST_VARS['show_results'] : 'posts';
?>[/php]
之後加上
[php]<?php
$show_results = ($show_results == 'topics') ? 'topics' : 'posts';
?>[/php]
尋找\r
[php]<?php
$store_vars = array('search_results', 'total_match_count', 'split_search', 'sort_by', 'sort_dir', 'show_results', 'return_chars');
?>[/php]
之後加上
[php]<?php
$search_results = '';
?>[/php]
login.php
尋找\r
[php]<?php
$url = ( !empty($HTTP_POST_VARS['redirect']) ) ? htmlspecialchars($HTTP_POST_VARS['redirect']) : "index.$phpEx";
?>[/php]
取代為\r
[php]<?php
$url = ( !empty($HTTP_POST_VARS['redirect']) ) ? str_replace('&', '&', htmlspecialchars($HTTP_POST_VARS['redirect'])) : "index.$phpEx";
?>[/php]
尋找\r
[php]<?php
$redirect = ( !empty($HTTP_POST_VARS['redirect']) ) ? htmlspecialchars($HTTP_POST_VARS['redirect']) : '';
?>[/php]
取代為\r
[php]<?php
$redirect = ( !empty($HTTP_POST_VARS['redirect']) ) ? str_replace('&', '&', htmlspecialchars($HTTP_POST_VARS['redirect'])) : '';
?>[/php]
尋找\r
[php]<?php
$redirect = ( !empty($HTTP_POST_VARS['redirect']) ) ? htmlspecialchars($HTTP_POST_VARS['redirect']) : "";
?>[/php]
取代為\r
[php]<?php
$redirect = ( !empty($HTTP_POST_VARS['redirect']) ) ? str_replace('&', '&', htmlspecialchars($HTTP_POST_VARS['redirect'])) : "";
?>[/php]
尋找\r
[php]<?php
$url = (!empty($HTTP_POST_VARS['redirect'])) ? htmlspecialchars($HTTP_POST_VARS['redirect']) : htmlspecialchars($HTTP_GET_VARS['redirect']);
?>[/php]
之後加上
[php]<?php
$url = str_replace('&', '&', $url);
?>[/php]
尋找\r
[php]<?php
$url = ( !empty($HTTP_POST_VARS['redirect']) ) ? htmlspecialchars($HTTP_POST_VARS['redirect']) : "index.$phpEx";
?>[/php]
取代為\r
[php]<?php
$url = ( !empty($HTTP_POST_VARS['redirect']) ) ? str_replace('&', '&', htmlspecialchars($HTTP_POST_VARS['redirect'])) : "index.$phpEx";
?>[/php]
privmsg.php
尋找\r
[php]<?php
message_die(GENERAL_ERROR, 'Could not query private messages', '', __LINE__, __FILE__, $sql);
}
if ( $row = $db->sql_fetchrow($result) )
{
?>[/php]
之後加上
[php]<?php
$i = 0;
?>[/php]
尋找\r
[php]<?php
$row_color = ( !($i % 2) ) ? $theme['td_color1'] : $theme['td_color2'];
$row_class = ( !($i % 2) ) ? $theme['td_class1'] : $theme['td_class2'];
?>[/php]
之後加上
[php]<?php
$i++;
?>[/php]
~Mac
發表於 : 2004-03-20 10:43
由 bbk
一要由2.0.7 升級到 2.0.7a嗎 ?
想直接下載 2.0.7a full version 的,
官方的網址暫時未提供資料,下面我看了,要下載2.0.7a,像沒有直接的下載點
https://sourceforge.net/project/showfil ... _id=223396
發表於 : 2004-03-20 11:44
由 大佬
這個更新主要是防範什麼問題?
發表於 : 2004-03-20 12:03
由 小竹子
大佬 寫:這個更新主要是防範什麼問題?
在搜尋的時候取得權限的安全性問題修正!
發表於 : 2004-03-20 12:20
由 fankun
是否可以直接用這三個文件替換207里面的相應文件?
發表於 : 2004-03-20 13:07
由 webspirit
更新完畢\r
謝謝竹大及Mac大大 ^^
發表於 : 2004-03-20 18:20
由 Mac
fankun 寫:是否可以直接用這三個文件替換207里面的相應文件?
可以,如果你確定你舊的檔案中沒有修改過(e.g. 加了外掛)
~Mac
發表於 : 2004-03-21 11:43
由 bbk
發表於 : 2004-03-21 23:38
由 godbless
幫你把中文語系連結點修正一下,因為美國官方上面的是舊版的!
