[2006/12/23] phpBB 2.0.22 安全性修正版本釋出

phpBB Installation & Usage Support
phpBB 2 安裝於各類型作業平台之問題討論;外掛問題,請到相關版面依發問格式發表!
(發表文章請按照公告格式發表,違者砍文)

版主: 版主管理群

版面規則
本區是討論關於 phpBB 2.0.X 架設安裝上的問題,只要有安裝任何外掛,請到外掛討論相關版面按照公告格式發表。
(發表文章請按照公告格式發表,違者砍文)
阿維
竹貓忠實會員
竹貓忠實會員
文章: 868
註冊時間: 2003-02-23 13:36
來自: 台南市

[2006/12/23] phpBB 2.0.22 安全性修正版本釋出

文章 阿維 »

phpBB 2.0.22 [ 完整安裝包 ]
phpBB 2.0.22 [ 只包含修改檔案 ]
phpBB 2.0.22 [ 只包含 Patch 檔案 ]
phpBB 2.0.22 [ 代碼差異指示 ]

更新重點:
[修正] Check for user's existence prior to showing email form
[修正] New members of moderator groups should always become moderators (Bug #382)
[修正] Proper message when replying to non-existant topics (Bug #459)
[修正] Changed column type of search_array to store more ids (Bug #4058)
[修正] Fixed annoyance with font-size selector (Bug #4612)
[修正] Fix optimize line in database updater (Bug #6186)
[安全修正] Check for the avatar upload directory reinforced
[安全修正] Changes to the criteria for "bad" redirection targets - kellanved
[安全修正] Fixed a non-persistent XSS issue in private messaging
[安全修正] Fixing possible negative start parameter - SpiderZ.
[安全修正] Added session checks to various forms - kellanved

語系變動:

代碼: 選擇全部

# 
#-----[ OPEN ]--------------------------------------------- 
# 
language/lang_english/lang_main.php

#
#-----[ FIND ]---------------------------------------------
# Line 1019
$lang['Please_remove_install_contrib'] = 'Please ensure both the install/ and contrib/ directories are deleted';

#
#-----[ AFTER, ADD ]---------------------------------------------
#

$lang['Session_invalid'] = 'Invalid Session. Please resubmit the form.';
風格變動:

代碼: 選擇全部

# 
#-----[ OPEN ]--------------------------------------------- 
# 
templates/subSilver/posting_body.tpl

#
#-----[ FIND ]---------------------------------------------
# Line 370
					</select> &nbsp;{L_FONT_SIZE}:<select name="addbbcode20" onChange="bbfontstyle('[size=' + this.form.addbbcode20.options[this.form.addbbcode20.selectedIndex].value + ']', '[/size]')" onMouseOver="helpline('f')">

#
#-----[ REPLACE WITH ]---------------------------------------------
#
					</select> &nbsp;{L_FONT_SIZE}:<select name="addbbcode20" onChange="bbfontstyle('[size=' + this.form.addbbcode20.options[this.form.addbbcode20.selectedIndex].value + ']', '[/size]');this.selectedIndex=0;" onMouseOver="helpline('f')">
					  <option value="0" class="genmed">{L_FONT_SIZE}</option>
phpBB 2.0.22 安全性修正版本已經釋出,詳情請看 phpBB 官方的公告:
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=489624
最後由 阿維 於 2006-12-25 03:26 編輯,總共編輯了 1 次。
Meowmeow
星球公民
星球公民
文章: 221
註冊時間: 2006-03-01 17:03
來自: 台北
聯繫:

文章 Meowmeow »

連聖誕夜前夕也要忙了。 :mrgreen:
Chita,一個野性獸圖聖殿。
頭像
心靈捕手
默默耕耘的老師
默默耕耘的老師
文章: 8510
註冊時間: 2004-04-30 01:54
來自: Taiwan

Re: [2006/12/23] phpBB 2.0.22 安全性修正版本釋出

文章 心靈捕手 »

JORDAN 寫: phpBB 2.0.22 安全性修正版本已經釋出,詳情請看 phpBB 官方的公告:
http://www.phpbb.com/phpBB/viewtopic.php?t=397315
建議您:
修正網址, 如下.
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=489624

--
風格檔修正部份, 算是老問題了;
相信很多過來人, 應該都已經修正過了.
施比受有福,祝福您好運! ^_^
歡迎光臨★★心靈捕手★★ :: 討論區
https://wang5555.dnsfor.me/phpBB3/
進藤光
星球公民
星球公民
文章: 291
註冊時間: 2005-03-16 18:48
來自: BNW 時尚資訊網
聯繫:

文章 進藤光 »

不要啊~~怎麼可以這時候發表 2.0.22 版,要嘛也應該等到 2007 過完新年之後才對啊~~老美這時候不都是放假去了嗎? :roll:

不過這些 Fix 與 Sec 看起來都跟我沒有關係,不會有任何影響,所以有沒有安裝並不太重要! XDDDD :mrgreen: :mrgreen: :mrgreen:
Meowmeow 寫:連聖誕夜前夕也要忙了。 :mrgreen:


耶~~~你需要忙嗎?不是早就換系統跳槽到別家了說?? :mrgreen:
※架設伺服器主機:Mac mini G4-1.5GHz, 1GB RAM 三台
※架設主機作業系統:Mac OS X Server 10.4.2 Tiger
※我的上網方式:固定制 ADSL 4M/1M、3 IP
※安裝的伺服器:Apache 1.3.33 + php 4.3.11 + MySQL 5.0.19-max
※我的 phpBB2 版本:phpBB 2.0.21 UTF-8 版
※我的會議室網址: http://bbs.bnw.com.tw/conference/
hollowaysxp
竹貓忠實會員
竹貓忠實會員
文章: 535
註冊時間: 2004-06-01 22:39
來自: 仙境傳說回憶最美~台灣桃園
聯繫:

文章 hollowaysxp »

我等整包外加中文語系。
●架設主機作業系統:FreeBSD 6.2-RELEASE (自行架設)
●我的上網方式:FTTB+VDSL HINET 10M/2M
●我安裝的程式:Apache 2.0.59+ PHP Version 4.4.4 + MySql 4.1.21+phpMyadmin 2.9.1.1
●我的 phpBB3 版本:phpBB3.0.1
●我的 phpBB3 連結網址 http://nitcs.itrello.com/forum/
NITCS歡迎你
NITCS論壇
Mac
百戰天龍馬蓋先
百戰天龍馬蓋先
文章: 2590
註冊時間: 2003-02-02 02:28
來自: MacphpBBMOD
聯繫:

文章 Mac »

線上版: http://macphpbbmod.sourceforge.net/word ... page_id=62

我的翻譯:

代碼: 選擇全部

$lang['Session_invalid'] = '無效的 Session. 請重新送出表單.';
~Mac
+ 關於 phpBB 使用問題請在版面發問,私人訊息提供其他不相干或是隱私的事情聯絡之用。

phpBB 官網 | 竹貓星球 | MacphpBBMOD | 我的服務
進藤光
星球公民
星球公民
文章: 291
註冊時間: 2005-03-16 18:48
來自: BNW 時尚資訊網
聯繫:

Re: [2006/12/23] phpBB 2.0.22 安全性修正版本釋出

文章 進藤光 »

請問一個我納悶了 N 年的事情,我知道【代碼差異指示】是給 EasyMOD 或是手動升級使用,【只包含 Patch 檔案】到底是給哪個工具程式來使用的啊? :roll:

【'無效的 Session. 請重新送出表單.'】嗯~什麼樣的情況才會遇到無效的 Session 這個問題呢?一般 user 會不會看不懂啊?
※架設伺服器主機:Mac mini G4-1.5GHz, 1GB RAM 三台
※架設主機作業系統:Mac OS X Server 10.4.2 Tiger
※我的上網方式:固定制 ADSL 4M/1M、3 IP
※安裝的伺服器:Apache 1.3.33 + php 4.3.11 + MySQL 5.0.19-max
※我的 phpBB2 版本:phpBB 2.0.21 UTF-8 版
※我的會議室網址: http://bbs.bnw.com.tw/conference/
yehrussell
竹貓忠實會員
竹貓忠實會員
文章: 548
註冊時間: 2006-01-03 07:48

文章 yehrussell »

我的快速回覆時,會有無法發文出現---> 【'無效的 Session. 請重新送出表單.'】

快速回覆 :arrow: PS:Quick reply to topic 1.1.2
chiouss
竹貓忠實會員
竹貓忠實會員
文章: 1741
註冊時間: 2002-11-29 18:19

Re: [2006/12/23] phpBB 2.0.22 安全性修正版本釋出

文章 chiouss »

進藤光 寫:請問一個我納悶了 N 年的事情,我知道【代碼差異指示】是給 EasyMOD 或是手動升級使用,【只包含 Patch 檔案】到底是給哪個工具程式來使用的啊? :roll:
patch(1) 用的,那檔案是用 diff(1) 產生出來的
進藤光 寫:【'無效的 Session. 請重新送出表單.'】嗯~什麼樣的情況才會遇到無效的 Session 這個問題呢?一般 user 會不會看不懂啊?
session time expire 之類的吧?
Mac
百戰天龍馬蓋先
百戰天龍馬蓋先
文章: 2590
註冊時間: 2003-02-02 02:28
來自: MacphpBBMOD
聯繫:

文章 Mac »

Seesion ID 錯誤,或是應該要有卻沒有之類的吧

例如:

代碼: 選擇全部

		// session id check
		if ($sid == '' || $sid != $userdata['session_id'])
		{
			message_die(GENERAL_ERROR, 'Invalid_session');
		}
~Mac
+ 關於 phpBB 使用問題請在版面發問,私人訊息提供其他不相干或是隱私的事情聯絡之用。

phpBB 官網 | 竹貓星球 | MacphpBBMOD | 我的服務
進藤光
星球公民
星球公民
文章: 291
註冊時間: 2005-03-16 18:48
來自: BNW 時尚資訊網
聯繫:

Re: [2006/12/23] phpBB 2.0.22 安全性修正版本釋出

文章 進藤光 »

嗯嗯~原來是這樣... 不過那個 patch 網站沒辦法下載任何東西,真是神奇了...
不過沒關係,反正我本來就打算手動升級... :mrgreen:
※架設伺服器主機:Mac mini G4-1.5GHz, 1GB RAM 三台
※架設主機作業系統:Mac OS X Server 10.4.2 Tiger
※我的上網方式:固定制 ADSL 4M/1M、3 IP
※安裝的伺服器:Apache 1.3.33 + php 4.3.11 + MySQL 5.0.19-max
※我的 phpBB2 版本:phpBB 2.0.21 UTF-8 版
※我的會議室網址: http://bbs.bnw.com.tw/conference/
醒覺之魔獸.H
星球公民
星球公民
文章: 85
註冊時間: 2006-02-11 10:20
聯繫:

文章 醒覺之魔獸.H »

我還以為phpbb2不會再有新的更新呢,沒想到已升級到2.0.22了,
怎麼我都沒有聽說過的呢? :oops:
阿維
竹貓忠實會員
竹貓忠實會員
文章: 868
註冊時間: 2003-02-23 13:36
來自: 台南市

文章 阿維 »

我發現到一個令人玩味的地方,那就是2.0.21的usercp_email.php檔案內容跟2.0.22的不同 (撇開手動升級的步驟,程式碼變動很大)
這是我用比對工具比對所發現的,假如有安裝過MOD的網友沒動過usercp_email.php這個檔案的話,就直接拿2.0.22的去覆蓋吧!
提供代客維護 phpBB 3.0.x 以及外掛/風格升級或安裝的服務,如需委託,請與我聯絡,謝謝! ;)
我的 Skype 帳號:gpxjordan
進藤光
星球公民
星球公民
文章: 291
註冊時間: 2005-03-16 18:48
來自: BNW 時尚資訊網
聯繫:

文章 進藤光 »

我來報告一個 phpBB 2.0.22 的最新 Bug!剛剛去官方原廠測試也是如此喔!嘿嘿嘿~~ XD :mrgreen: :mrgreen: :mrgreen:

竹貓這裡還沒升級,建議先別升級 templates/subSilver/posting_body.tpl 這個部份,真是越改越糟~~ Orz
建議各位站長也可以先去原廠登入,按【newtopic】:

http://www.phpbb.com/phpBB/viewforum.php?f=1

你會看到【Font size: Normal】,直接點選新的項目【Font size】就會得到 [ size=0 ] [ /size ] 這個錯誤的字型 BBcode 碼! Orz
照理說應該預設值是【Font size: Font size】而不是【Font size: Normal】才對!
所以底下官方的修正是錯誤的:

代碼: 選擇全部

# 
#-----[ OPEN ]--------------------------------------------- 
# 
templates/subSilver/posting_body.tpl

#
#-----[ FIND ]---------------------------------------------
# Line 370
					</select> &nbsp;{L_FONT_SIZE}:<select name="addbbcode20" onChange="bbfontstyle('[size=' + this.form.addbbcode20.options[this.form.addbbcode20.selectedIndex].value + ']', '[/size]')" onMouseOver="helpline('f')">

#
#-----[ REPLACE WITH ]---------------------------------------------
#
					</select> &nbsp;{L_FONT_SIZE}:<select name="addbbcode20" onChange="bbfontstyle('[size=' + this.form.addbbcode20.options[this.form.addbbcode20.selectedIndex].value + ']', '[/size]');this.selectedIndex=0;" onMouseOver="helpline('f')">
					  <option value="0" class="genmed">{L_FONT_SIZE}</option>
要怎麼改才對?這... 大家想想吧~~~ XD :mrgreen: :mrgreen: :mrgreen:

好吧,不吊各位站長的胃口,阿光我在這裡也得到不少幫助,來回報一點吧...
請改成底下這樣即可:

代碼: 選擇全部

	</select> &nbsp;{L_FONT_SIZE}:<select name="addbbcode20" onChange="bbfontstyle('[size=' + this.form.addbbcode20.options[this.form.addbbcode20.selectedIndex].value + ']', '[/size]');this.selectedIndex=0" onMouseOver="helpline('f')">
	<option value="0" selected class="genmed">{L_FONT_SIZE}</option>
	<option value="7" class="genmed">{L_FONT_TINY}</option>
	<option value="9" class="genmed">{L_FONT_SMALL}</option>
	<option value="12" class="genmed">{L_FONT_NORMAL}</option>
	<option value="18" class="genmed">{L_FONT_LARGE}</option>
	<option value="24" class="genmed">{L_FONT_HUGE}</option>
也就是要把 selected 這個字搬到最上面項目:【<option value="0" selected class="genmed">】
或是乾脆刪除預設的 selected 變成這樣:

代碼: 選擇全部

	</select> &nbsp;{L_FONT_SIZE}:<select name="addbbcode20" onChange="bbfontstyle('[size=' + this.form.addbbcode20.options[this.form.addbbcode20.selectedIndex].value + ']', '[/size]');this.selectedIndex=0" onMouseOver="helpline('f')">
	<option value="0" class="genmed">{L_FONT_SIZE}</option>
	<option value="7" class="genmed">{L_FONT_TINY}</option>
	<option value="9" class="genmed">{L_FONT_SMALL}</option>
	<option value="12" class="genmed">{L_FONT_NORMAL}</option>
	<option value="18" class="genmed">{L_FONT_LARGE}</option>
	<option value="24" class="genmed">{L_FONT_HUGE}</option>
這下子,這個小問題是要等到 2.0.23 才會修正了吧... XD :mrgreen: :mrgreen: :mrgreen:
※架設伺服器主機:Mac mini G4-1.5GHz, 1GB RAM 三台
※架設主機作業系統:Mac OS X Server 10.4.2 Tiger
※我的上網方式:固定制 ADSL 4M/1M、3 IP
※安裝的伺服器:Apache 1.3.33 + php 4.3.11 + MySQL 5.0.19-max
※我的 phpBB2 版本:phpBB 2.0.21 UTF-8 版
※我的會議室網址: http://bbs.bnw.com.tw/conference/
chiouss
竹貓忠實會員
竹貓忠實會員
文章: 1741
註冊時間: 2002-11-29 18:19

文章 chiouss »

直接把

代碼: 選擇全部

<option value="0" class="genmed">{L_FONT_SIZE}</option>
拿掉就好。也就是說,這個地方根本不用改 =.=

因為改了也沒意義... (你需要 size=0 這種東西嗎?)
主題已鎖定

回到「phpBB 2 安裝與使用」