Быстрый лёгкий надёжный форумный движок
Вы не вошли.
Страницы 1
Тема закрыта
punbb 1.2.17 - вопросы всё по изменениям
http://punbb.org/forums/viewtopic.php?id=18460
Important! One of the vulnerabilities that were dealt with in 1.2.17 have to do with something called the cookie seed. The changes in 1.2.17 should protect you from the vulnerability, but we still recommend that you make one minor change to your installation to further harden your forum from attacks. To make the change, open up config.php and look for something along the lines of:
$cookie_seed = '5b16024c';
Не много не пойму что с этим делать? Расскажите подробнее. У меня на форуме в файле config.php этого "$cookie_seed = '5b16024c';" нет.
данная строка - пример. на самом деле это число генерируется при установке и у каждого оно свое. рекомендуется не только накатить изменения 1.2.17, но и изменить этот cookie_seed хотябы на одну букву, на случай если уязвимостью УЖЕ кто-то сумел воспользоваться. (украли куку)
в результате все пользователи, у кого вход был сохранен будут вынуждены войти заново. зато украденная кука станет нерабочей.
Большое спасибо за разъяснения. Я тоже гадал в чем дело.
$cookie_seed = '5b16024c';
Кто-нибудь с нуля создавал эту переменную?
Какой длины она у вас в 17 версии?
да, обновления веселят...
// START SUBST - <pun_page>
$tpl_main = str_replace('<pun_page>', htmlspecialchars(basename($_SERVER['PHP_SELF'], '.php')), $tpl_main);
-// END SUBST - <pun_title>
+// END SUBST - <pun_page>
народ, а кто подскажет, это зачем?
diff -urN punbb-1.2.16/upload/include/common.php punbb-1.2.17/upload/include/common.php
--- punbb-1.2.16/upload/include/common.php 2007-04-09 16:15:20.000000000 +0200
+++ punbb-1.2.17/upload/include/common.php 2008-02-20 00:09:45.000000000 +0100
@@ -70,8 +70,9 @@
$_COOKIE = stripslashes_array($_COOKIE);
}
-// Seed the random number generator
-mt_srand((double)microtime()*1000000);
+// Seed the random number generator (PHP <4.2.0 only)
+if (version_compare(PHP_VERSION, '4.2.0', '<'))
+ mt_srand((double)microtime()*1000000);
// If a cookie name is not specified in config.php, we use the default (punbb_cookie)
if (empty($cookie_name))
на случай если уязвимостью УЖЕ кто-то сумел воспользоваться. (украли куку)
я что-то не совсем догоняю... что это за уязвимость и где она в данной апдейте исправзяется??? )
Добавлено спустя 37 минут 41 секунду:
я что-то не совсем догоняю... что это за уязвимость и где она в данной апдейте исправзяется???
уже догнал... но, имхо, как-то они мутно ее устранили... было бы неплохо и переделать алгоритм генерации кода активации, как считаете? )
да, обновления веселят...
Веселят не это обновление, а два последних, если не ошибаюсь.
Там блок кода меняется сам на себя
-// Seed the random number generator
-mt_srand((double)microtime()*1000000);
+// Seed the random number generator (PHP <4.2.0 only)
+if (version_compare(PHP_VERSION, '4.2.0', '<'))
+ mt_srand((double)microtime()*1000000);
Начиная с PHP 4.2.0, больше нет необходимости инициализировать генератор случайных чисел функциями srand() или mt_srand(), поскольку теперь это ...
Обновляю сборку и обнаружил это:
@@ -295,10 +295,10 @@
if (empty($topics) || $move_to_forum < 1)
message($lang_common['Bad request']);
- // Verify that the topic IDs are valid
- $result = $db->query('SELECT 1 FROM '.$db->prefix.'topics WHERE id IN('.implode(',',$topics).') AND forum_id='.$fid) or error('Unable to check topics', __FILE__, __LINE__, $db->error());
-
- if ($db->num_rows($result) != count($topics))
+ // Verify that the topic IDs are valid
+ $result = $db->query('SELECT 1 FROM '.$db->prefix.'topics WHERE id IN('.implode(',',$topics).') AND forum_id='.$fid) or error('Unable to check topics', __FILE__, __LINE__, $db->error());
+
+ if ($db->num_rows($result) != count($topics))
message($lang_common['Bad request']);
в moderate.php и не понял что это значит, может я чегото не заметил? Но по моему абсолютно одинаковые буквы.
может что-то пропустили, т.к. код действительно одинаков
оффтоп что-то на панресе одни расширения для 1.3 выкладывают, похоже на ветку 1.2 забили уже
Да там вообще анархия, панрес после релиза прикажет долго жить
Не работает конструкция
md5(uniqid(rand(), true))
(создание кук), белый экран.
В чем может быть дело?
Поиск еще отвалился. Обновлял вручную по diff'у, все перепроверил
у меня тоже не заработало - проблема описана тут 1.3 beta
Страницы 1
Тема закрыта