Вышел релиз 1.4.2

Visman · 2010-08-09 15:35:23

Новость тут: http://fluxbb.org/forums/viewtopic.php?id=4504

Вышла версия раньше времени из-за критической уязвимости в PHP <= 5.2.13/5.3.2.

Редактировался Visman (2010-08-09 15:45:50)

artoodetoo · 2010-08-09 15:54:27

PHP unserialize() vulnerability affects cookie data
Reported by: Smartys
ню-ню. вообще-то это я обратил внимание Смартиса и Рене молодцы что быстро отреагировали, суток не прошло

Уязвимость через десериализацию данных, поступающих от пользвателя. Старый добрый принцип: никогда не доверяй пользовательским данным. В этом случае речь про unserialize() при проверке авторизационных кук. Очень многие популярные скрипты (были) уязвимы. Например необходимо срочно обновлять phpmyadmin, если кто этого не сделал.

Любопытно, что PunBB давно не обновляется и, кажется, та же потенциальная дыра остаётся открытой у них.

hcs · 2010-08-09 17:23:11

PunBB лишен этой уязвимости, куки хранятся в виде закодированной base64 строки с разделителями.

artoodetoo · 2010-08-09 17:32:37

это 1.3, а на старый 1.2 они ничего не будут накатывать?

artoodetoo · 2010-08-09 17:57:28

Я обновил репозитарий и этот форум до v1.4.2
Приветствую нового админа!

Visman · 2010-08-09 18:56:45

оффтоп: Всех забаню!

Che77 · 2010-08-09 19:06:42

artoodetoo пишет:

PHP unserialize() vulnerability affects cookie data
Reported by: Smartys
ню-ню. вообще-то это я обратил внимание Смартиса и Рене молодцы что быстро отреагировали, суток не прошло
Уязвимость через десериализацию данных, поступающих от пользвателя. Старый добрый принцип: никогда не доверяй пользовательским данным. В этом случае речь про unserialize() при проверке авторизационных кук. Очень многие популярные скрипты (были) уязвимы. Например необходимо срочно обновлять phpmyadmin, если кто этого не сделал.
Любопытно, что PunBB давно не обновляется и, кажется, та же потенциальная дыра остаётся открытой у них.

Хм...

if (!isset($pun_user['id']) || md5($cookie_seed.$pun_user['password']) !== $cookie['password_hash'])

А где тут уязвимость?

Visman · 2010-08-09 19:21:12

Che77, http://fluxbb.org/development/tickets/93/

hcs · 2010-08-09 19:33:39

Che77,

list($cookie['user_id'], $cookie['password_hash'], $cookie['expiration_time']) = @unserialize($_COOKIE[$cookie_name]);

Smilies · 2010-08-11 09:54:44

Visman пишет:

Вышла версия раньше времени из-за критической уязвимости в PHP <= 5.2.13/5.3.2.

А что означает "раньше времени" ? Т.е. ожидается ещё одна "окончательная" версия с изменениями, которые не успели включить в новый релиз?

artoodetoo · 2010-08-11 11:16:27

Не будет никакой "окончательной". Нормальный живой проект постоянно находится в работе. Есть Roadmap проекта, на каждый этап свой набор тикетов. Я так понимаю, в связи с потенциальной угрозой им пришлось какие-то тикеты перебросить на следующий этап и завершить текущий.

hcs · 2010-08-11 18:29:32

artoodetoo пишет:

это 1.3, а на старый 1.2 они ничего не будут накатывать?

После жалобы накатили: http://punbb.informer.com/forums/topic/ … unbb-1223/

Русское сообщество fluxbb

Объявление

#1 2010-08-09 15:35:23

Вышел релиз 1.4.2

#2 2010-08-09 15:54:27

Re: Вышел релиз 1.4.2

#3 2010-08-09 17:23:11

Re: Вышел релиз 1.4.2

#4 2010-08-09 17:32:37

Re: Вышел релиз 1.4.2

#5 2010-08-09 17:57:28

Re: Вышел релиз 1.4.2

#6 2010-08-09 18:56:45

Re: Вышел релиз 1.4.2

#7 2010-08-09 19:06:42

Re: Вышел релиз 1.4.2

#8 2010-08-09 19:21:12

Re: Вышел релиз 1.4.2

#9 2010-08-09 19:33:39

Re: Вышел релиз 1.4.2

#10 2010-08-11 09:54:44

Re: Вышел релиз 1.4.2

#11 2010-08-11 11:16:27

Re: Вышел релиз 1.4.2

#12 2010-08-11 18:29:32

Re: Вышел релиз 1.4.2

Подвал доски