1 頁 (共 4 頁)

[2006/12/23] phpBB 2.0.22 安全性修正版本釋出

發表於 : 2006-12-24 06:33
阿維
phpBB 2.0.22 [ 完整安裝包 ]
phpBB 2.0.22 [ 只包含修改檔案 ]
phpBB 2.0.22 [ 只包含 Patch 檔案 ]
phpBB 2.0.22 [ 代碼差異指示 ]

更新重點:
[修正] Check for user's existence prior to showing email form
[修正] New members of moderator groups should always become moderators (Bug #382)
[修正] Proper message when replying to non-existant topics (Bug #459)
[修正] Changed column type of search_array to store more ids (Bug #4058)
[修正] Fixed annoyance with font-size selector (Bug #4612)
[修正] Fix optimize line in database updater (Bug #6186)
[安全修正] Check for the avatar upload directory reinforced
[安全修正] Changes to the criteria for "bad" redirection targets - kellanved
[安全修正] Fixed a non-persistent XSS issue in private messaging
[安全修正] Fixing possible negative start parameter - SpiderZ.
[安全修正] Added session checks to various forms - kellanved

語系變動:

代碼: 選擇全部

# 
#-----[ OPEN ]--------------------------------------------- 
# 
language/lang_english/lang_main.php

#
#-----[ FIND ]---------------------------------------------
# Line 1019
$lang['Please_remove_install_contrib'] = 'Please ensure both the install/ and contrib/ directories are deleted';

#
#-----[ AFTER, ADD ]---------------------------------------------
#

$lang['Session_invalid'] = 'Invalid Session. Please resubmit the form.';
風格變動:

代碼: 選擇全部

# 
#-----[ OPEN ]--------------------------------------------- 
# 
templates/subSilver/posting_body.tpl

#
#-----[ FIND ]---------------------------------------------
# Line 370
					</select> &nbsp;{L_FONT_SIZE}:<select name="addbbcode20" onChange="bbfontstyle('[size=' + this.form.addbbcode20.options[this.form.addbbcode20.selectedIndex].value + ']', '[/size]')" onMouseOver="helpline('f')">

#
#-----[ REPLACE WITH ]---------------------------------------------
#
					</select> &nbsp;{L_FONT_SIZE}:<select name="addbbcode20" onChange="bbfontstyle('[size=' + this.form.addbbcode20.options[this.form.addbbcode20.selectedIndex].value + ']', '[/size]');this.selectedIndex=0;" onMouseOver="helpline('f')">
					  <option value="0" class="genmed">{L_FONT_SIZE}</option>
phpBB 2.0.22 安全性修正版本已經釋出,詳情請看 phpBB 官方的公告:
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=489624

發表於 : 2006-12-24 11:38
Meowmeow
連聖誕夜前夕也要忙了。 :mrgreen:

Re: [2006/12/23] phpBB 2.0.22 安全性修正版本釋出

發表於 : 2006-12-24 12:08
心靈捕手
JORDAN 寫: phpBB 2.0.22 安全性修正版本已經釋出,詳情請看 phpBB 官方的公告:
http://www.phpbb.com/phpBB/viewtopic.php?t=397315
建議您:
修正網址, 如下.
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=489624

--
風格檔修正部份, 算是老問題了;
相信很多過來人, 應該都已經修正過了.

發表於 : 2006-12-24 12:40
進藤光
不要啊~~怎麼可以這時候發表 2.0.22 版,要嘛也應該等到 2007 過完新年之後才對啊~~老美這時候不都是放假去了嗎? :roll:

不過這些 Fix 與 Sec 看起來都跟我沒有關係,不會有任何影響,所以有沒有安裝並不太重要! XDDDD :mrgreen: :mrgreen: :mrgreen:
Meowmeow 寫:連聖誕夜前夕也要忙了。 :mrgreen:


耶~~~你需要忙嗎?不是早就換系統跳槽到別家了說?? :mrgreen:

發表於 : 2006-12-24 16:09
hollowaysxp
我等整包外加中文語系。

發表於 : 2006-12-24 16:21
Mac
線上版: http://macphpbbmod.sourceforge.net/word ... page_id=62

我的翻譯:

代碼: 選擇全部

$lang['Session_invalid'] = '無效的 Session. 請重新送出表單.';
~Mac

Re: [2006/12/23] phpBB 2.0.22 安全性修正版本釋出

發表於 : 2006-12-24 16:40
進藤光
請問一個我納悶了 N 年的事情,我知道【代碼差異指示】是給 EasyMOD 或是手動升級使用,【只包含 Patch 檔案】到底是給哪個工具程式來使用的啊? :roll:

【'無效的 Session. 請重新送出表單.'】嗯~什麼樣的情況才會遇到無效的 Session 這個問題呢?一般 user 會不會看不懂啊?

發表於 : 2006-12-24 17:08
yehrussell
我的快速回覆時,會有無法發文出現---> 【'無效的 Session. 請重新送出表單.'】

快速回覆 :arrow: PS:Quick reply to topic 1.1.2

Re: [2006/12/23] phpBB 2.0.22 安全性修正版本釋出

發表於 : 2006-12-24 17:21
chiouss
進藤光 寫:請問一個我納悶了 N 年的事情,我知道【代碼差異指示】是給 EasyMOD 或是手動升級使用,【只包含 Patch 檔案】到底是給哪個工具程式來使用的啊? :roll:
patch(1) 用的,那檔案是用 diff(1) 產生出來的
進藤光 寫:【'無效的 Session. 請重新送出表單.'】嗯~什麼樣的情況才會遇到無效的 Session 這個問題呢?一般 user 會不會看不懂啊?
session time expire 之類的吧?

發表於 : 2006-12-24 17:35
Mac
Seesion ID 錯誤,或是應該要有卻沒有之類的吧

例如:

代碼: 選擇全部

		// session id check
		if ($sid == '' || $sid != $userdata['session_id'])
		{
			message_die(GENERAL_ERROR, 'Invalid_session');
		}
~Mac

Re: [2006/12/23] phpBB 2.0.22 安全性修正版本釋出

發表於 : 2006-12-24 21:43
進藤光
嗯嗯~原來是這樣... 不過那個 patch 網站沒辦法下載任何東西,真是神奇了...
不過沒關係,反正我本來就打算手動升級... :mrgreen:

發表於 : 2006-12-24 22:28
醒覺之魔獸.H
我還以為phpbb2不會再有新的更新呢,沒想到已升級到2.0.22了,
怎麼我都沒有聽說過的呢? :oops:

發表於 : 2006-12-25 08:16
阿維
我發現到一個令人玩味的地方,那就是2.0.21的usercp_email.php檔案內容跟2.0.22的不同 (撇開手動升級的步驟,程式碼變動很大)
這是我用比對工具比對所發現的,假如有安裝過MOD的網友沒動過usercp_email.php這個檔案的話,就直接拿2.0.22的去覆蓋吧!

發表於 : 2006-12-25 13:52
進藤光
我來報告一個 phpBB 2.0.22 的最新 Bug!剛剛去官方原廠測試也是如此喔!嘿嘿嘿~~ XD :mrgreen: :mrgreen: :mrgreen:

竹貓這裡還沒升級,建議先別升級 templates/subSilver/posting_body.tpl 這個部份,真是越改越糟~~ Orz
建議各位站長也可以先去原廠登入,按【newtopic】:

http://www.phpbb.com/phpBB/viewforum.php?f=1

你會看到【Font size: Normal】,直接點選新的項目【Font size】就會得到 [ size=0 ] [ /size ] 這個錯誤的字型 BBcode 碼! Orz
照理說應該預設值是【Font size: Font size】而不是【Font size: Normal】才對!
所以底下官方的修正是錯誤的:

代碼: 選擇全部

# 
#-----[ OPEN ]--------------------------------------------- 
# 
templates/subSilver/posting_body.tpl

#
#-----[ FIND ]---------------------------------------------
# Line 370
					</select> &nbsp;{L_FONT_SIZE}:<select name="addbbcode20" onChange="bbfontstyle('[size=' + this.form.addbbcode20.options[this.form.addbbcode20.selectedIndex].value + ']', '[/size]')" onMouseOver="helpline('f')">

#
#-----[ REPLACE WITH ]---------------------------------------------
#
					</select> &nbsp;{L_FONT_SIZE}:<select name="addbbcode20" onChange="bbfontstyle('[size=' + this.form.addbbcode20.options[this.form.addbbcode20.selectedIndex].value + ']', '[/size]');this.selectedIndex=0;" onMouseOver="helpline('f')">
					  <option value="0" class="genmed">{L_FONT_SIZE}</option>
要怎麼改才對?這... 大家想想吧~~~ XD :mrgreen: :mrgreen: :mrgreen:

好吧,不吊各位站長的胃口,阿光我在這裡也得到不少幫助,來回報一點吧...
請改成底下這樣即可:

代碼: 選擇全部

	</select> &nbsp;{L_FONT_SIZE}:<select name="addbbcode20" onChange="bbfontstyle('[size=' + this.form.addbbcode20.options[this.form.addbbcode20.selectedIndex].value + ']', '[/size]');this.selectedIndex=0" onMouseOver="helpline('f')">
	<option value="0" selected class="genmed">{L_FONT_SIZE}</option>
	<option value="7" class="genmed">{L_FONT_TINY}</option>
	<option value="9" class="genmed">{L_FONT_SMALL}</option>
	<option value="12" class="genmed">{L_FONT_NORMAL}</option>
	<option value="18" class="genmed">{L_FONT_LARGE}</option>
	<option value="24" class="genmed">{L_FONT_HUGE}</option>
也就是要把 selected 這個字搬到最上面項目:【<option value="0" selected class="genmed">】
或是乾脆刪除預設的 selected 變成這樣:

代碼: 選擇全部

	</select> &nbsp;{L_FONT_SIZE}:<select name="addbbcode20" onChange="bbfontstyle('[size=' + this.form.addbbcode20.options[this.form.addbbcode20.selectedIndex].value + ']', '[/size]');this.selectedIndex=0" onMouseOver="helpline('f')">
	<option value="0" class="genmed">{L_FONT_SIZE}</option>
	<option value="7" class="genmed">{L_FONT_TINY}</option>
	<option value="9" class="genmed">{L_FONT_SMALL}</option>
	<option value="12" class="genmed">{L_FONT_NORMAL}</option>
	<option value="18" class="genmed">{L_FONT_LARGE}</option>
	<option value="24" class="genmed">{L_FONT_HUGE}</option>
這下子,這個小問題是要等到 2.0.23 才會修正了吧... XD :mrgreen: :mrgreen: :mrgreen:

發表於 : 2006-12-25 15:59
chiouss
直接把

代碼: 選擇全部

<option value="0" class="genmed">{L_FONT_SIZE}</option>
拿掉就好。也就是說,這個地方根本不用改 =.=

因為改了也沒意義... (你需要 size=0 這種東西嗎?)