Вышел phpBB 2.0.7

Аватара пользователя
Mr. Anderson
phpBB Guru
phpBB Guru
Сообщения: 7522
Зарегистрирован: 13.03.2004 21:32
Откуда: СССР
Благодарил (а): 22 раза
Поблагодарили: 154 раза
Контактная информация:

Вышел phpBB 2.0.7

Сообщение Mr. Anderson » 14.03.2004 8:24

phpBB Group рады представить релиз phpBB 2.0.7, который сами разработчики назвали версией «фу, законопатили все дырки?». Этот релиз был выпущен, чтобы исправить несколько потенциальных угроз безопасности и объединить все обновления предыдущего релиза (2.0.6 a-d). Разработчики напоминают, что продолжается работа над релизом 2.2.0 и, как и раньше, не планируется выпуск новых версий 2.0.x, за исключением обнаружения новых угроз безопасности.

Как и в предыдущих релизах, доступны три версии дистрибутива:
  • Полный пакет
    Содержит все файлы phpBB и английский языковой пакет.
  • Только измененные файлы
    Содержит только те файлы, которые были изменены со времени предыдущего релиза phpBB. Пожалуйста, учтите, что этот архив включает изменённые файлы для каждого предыдущего релиза.
  • Patch-файлы
    Содержит patch-совместимые файлы изменений с предыдущего релиза.
Выберите ту версию, которая будет наиболее удобной для вас.

Пожалуйста, удостоверьтесь, что вы прочли файлы INSTALL и README в каталоге docs перед установкой или обновлением вашего форума.

Замечание для пользователей версии 2.0.3, планирующих использовать patch-файлы

Пользователям версии 2.0.3, планирующим использовать patch-файлы, возможно потребуется запустить fix_files.sh (можно найти в каталоге contrib дистрибутива) перед выполнением patch-программы.

При обновлении форума с версии 2.0.3 наилучшим вариантом будет сначала запустить патч в режиме "dry run" - это покажет, действительно ли вам понадобится использовать fix_files.sh. Для этого примените такой параметр команды patch, как --dry-run, например patch -cl -p1 --dry-run < phpBB-2.0.3_to_2.0.7.patch. Такой запрос выполнит patch-файл, однако изменения в файлы дистрибутива вносится не будут. В случае если вы после выполнения файла увидите несчетное количество сообщений об ошибках, использовать fix_files.sh все же придется.

Для устранения этой проблемы скопируйте файл fix_files.sh в корневую директорию вашего форума, установите права доступа для него как u+x и затем выполните его при помощи команды ./fix_files.sh *. Этот скрипт заменит принятые в Windows символы перевода строк, присутствующие в коде версии 2.03. Обратите внимание, что скрипт произведет данную операцию со всеми файлами, включая бинарные, если они находятся вне директорий files или images. На время работы скрипта следует разместить подобные файлы вне директории вашего форума.

Какие изменения произошли в данном релизе?

Исчерпывающий список изменений включен во все архивы. Эта версия направлена на исправление нескольких потенциальных угроз безопасности.

Как и в версиях 2.0.5 и 2.0.6, система защиты от флуда (визуальное подтверждение регистрации) и файлы кэширования шаблонов находятся в каталоге contrib.

Замечание для пользователей версий 2.0.6 a -2.0.6 d

Если вы методично исправляли все ошибки, вам необходимо всего лишь устранить две проблемы по части безопасности, обнаруженные Gulftech Security Research:

Откройте файл viewforum.php

НАЙДИТЕ (строка 243)

Код: Выделить всё

   $topic_days = ( !empty($HTTP_POST_VARS['topicdays']) ) ? $HTTP_POST_VARS['topicdays'] : $HTTP_GET_VARS['topicdays']; 
ЗАМЕНИТЕ НА

Код: Выделить всё

   $topic_days = ( !empty($HTTP_POST_VARS['topicdays']) ) ? intval($HTTP_POST_VARS['topicdays']) : intval($HTTP_GET_VARS['topicdays']); 
Откройте файл viewtopic.php

НАЙДИТЕ (строка 317)

Код: Выделить всё

   $post_days = ( !empty($HTTP_POST_VARS['postdays']) ) ? $HTTP_POST_VARS['postdays'] : $HTTP_GET_VARS['postdays']; 
ЗАМЕНИТЕ НА

Код: Выделить всё

   $post_days = ( !empty($HTTP_POST_VARS['postdays']) ) ? intval($HTTP_POST_VARS['postdays']) : intval($HTTP_GET_VARS['postdays']); 

Закрыто

Вернуться в «Новости и объявления (архив)»