» InvisionBoard News

Invision Power Board(R) v2.0 Alpha 2
-Переписаны запросы к БД, в рез-те чего скорость форумов с большим количеством сообщений (от 1000 до 10 000 000) будет выше, а с маленьким - чуточку меньше.
-новые режимы просмотра темы в довесок к обычному линейному: древовидный и полу древовидный.

Цитата:

На оф. форуме разработчиков, наконец, поставили третью альфу 2.0.
Среди замеченных новых возможностей:

* Прикрепление файлов к личным сообщениям (PM)
* Номер личного сообщения в каждой папке в профиле пользователя
* Новый форма оповещения о новом личном сообщении
* Нумерация сообщений в теме (замечу не в форуме, а в теме)
* Скрытие/Открытие категорий форумов на главной страниц (Javascript)
* Возможность просмотра CC (Скрытых копий писем) кому адресованы (PM)
* Ну и как всегда, оптимизируется, что возможно...

(c) http://www.ibresource.ru

IPB 1.3 Security Update 12-16 (1.3) - надо переписать два файла functions.php и Forums.php поверх уже существующих.
Или

Цитата:

1) Открываем файл sources/Forums.php, находим код:
CODE

if ( (!isset($sort_keys[$sort_key])) and (!isset($prune_by_day[$prune_value])) and (!isset($sort_by_keys[$sort_by])) )

Заменяем его на:
CODE

if ( (!isset($sort_keys[$sort_key])) or (!isset($prune_by_day[$prune_value])) or (!isset($sort_by_keys[$sort_by])) )

Сохраняем файл на сервере.

2) Теперь файл sources/Functions.php, находим код:
CODE

if( is_array($HTTP_GET_VARS) )
{
while( list($k, $v) = each($HTTP_GET_VARS) )
{

Заменяем на:
CODE

if( is_array($HTTP_GET_VARS) )
{
while( list($k, $v) = each($HTTP_GET_VARS) )
{
if ( $k == 'INFO' )
{
continue;
}

Сохраняем файл на сервере.

Всё. Патч установлен.

(C) Ibresource.ru

SQl инъекция в Invision Power Top Site List

Уязвимость обнаружена в Invision Power Top Site List. Удаленный пользователь может выполнить нападение SQL инъекции.

Уязвимость в проверке правильности входных данных обнаружена в сценарии 'index.php' в параметре offset.

Цитата:

SQl инъекция в Invision Power Top Site List

http://www.ibresource.ru/forums/index.php?showtopic=2924

1.3 Security Patch 02-01-04 (1.3)

Подробности тут:
http://forums.invisionpower.com/index.php?act=ST&f=1&t=108786

Патч тут:
http://www.invisionboard.com/download/index.php?s=&act=dl&s=1&id=14&p=1

Эксплоиты тут:
http://www.security-corporation.com/advisories-025.html

Совсем не замеченным в прессе прошел Security Update [ssi.php] от Feb 19 2004
подробности тут - http://forums.invisionpower.com/index.php?act=ST&f=&t=114715



SQL инъекция в Invision Power Board (все версии)

Описание: Уязвимость обнаружена в Invision Board Forum в "sources/search.php". Удаленный пользователь может выполнить произвольный SQL код на основной базе данных.

Уязвимый код:

if (isset($ibforums->input['st']) )
{
$this->first = $ibforums->input['st'];
}

Пример/Эксплоит:
http://www.board.com/forum/index.php?act=Search&nav=lv&CODE=show&
searchid={SESSION_ID}&search_in=topics&result_type=topics&hl=&st=20[SQL code]/*

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.


пока не вышла заплатка, рекомендуя снять пирмишены для файла поиска.

Terabyte

Цитата:

Способов устранения обнаруженной уязвимости не существует в настоящее время.

Да? А в соседний топик не догадался заглянуть? Там вроде уже есть решение хоть и неофициальное.

Межсайтовый скриптинг в Invision Power Board

Программа: Invision Power Board 1.3 Final

Опасность: Низкая
Наличие эксплоита: Да
Описание:
Несколько уязвимостей в проверке правильности входных данных обнаружено в Invision Power Board. Удаленный пользователь может выполнить XSS нападение.
Параметры 'c', 'f', 'showtopic', 'showuser', и 'username' не фильтруют HTML код, представленный пользователем:

Код:
_http://[target]/?c='><script>alert(window.document.url)</script><plain text>
_http://[target]/?showtopic='><script>alert(window.document.url)</script><plaintext>
_http://[target]/?act=SR&f='><script>alert(document.Cracker)</script>
_http://[target]/?showuser='><script>alert(document.Cracker)</script>
_http://[target]/index.php?act=Reg&CODE=2&coppa_user=0&UserName='><script>alert(document.Cracker)</script>

Опубликовано официальное исправление ошибки в search.php, которая допускала SQL инъекции.
Сам патч можно скачать здесь.

Вышел первый публичный релиз IPB 2.0.

Подробнее читать здесь.
Скачать можно здесь:
_http://www.invisionboard.com/downloads/2p0p0PDR1.zip

CyberPilgrim
Да это только для тестирования.

Цитата:

This release is not suitable for a main production board, it is for testing only

А вы читали что эти мамбеты написали:

Цитата:

The instructions in the zip are WRONG - please read further down for more info

Как будто у козлов рук не хватило написать инструкцию.

тесты IPB 2,0 показали, что все пучком (в основном), однако багов тоже вагон с маленькой тележкой. Другое дело, что они в глаза бросаются реже, чем новые фичи.

По словам Мэтта, очередная бета-версия (PDR3) выйдет 17 мая, а первый релиз-кандидат (RC1) - 27 мая.
Даты ориентировочные и могут поменяться.

Можно сказать по графику вышел очередной билд IPB 2.0.0 PDR 3.
Забирать здесь:
http://www.invisionboard.com/download/index.php

The following bugs have been recorded as fixed for the next release.

#103510 Searching specific forum can generate SQL errors
#103717 Adding a poll after topic has been posted errors
#104798 Quote doesn't retain edits when adding a new attachment
#105639 Incorrect 'from_member' in sent PM text
#105643 Unable to PM member from address book
#105898 Incorrect topic title used when adding a poll
#108951 Mods can warn others even if not allowed
#110263 Guests can see some private calendar events
#118000 Polls only showing 10 images regardless of total choices
#118756 ACP: Searching for attachments
#118844 Editing a Poll deletes poll choices
#118919 BBCode help, not showing image
#118959 Warning a protected member is still allowed
#119009 Cannot change password via UserCP
#119093 ACP: SQL error when searching templates
#119397 Account suspension - end date missing from message
#119435 Forum View multi-mod with none selected causes SQL error
#120865 Cannot change email address via UserCP
#122505 Profile fields showing on member list incorrectly
#122551 ACP: IPB2.0 Images dir creates problems on some systems
#122778 ACP: Template HTML previews not working
#122924 Group image not showing on profile page
#122998 Editing announcements causes preg_replace error in some situations
#123117 Memberlist pagination bug
#123162 Lo-Fi: Working even when board is offline
#123598 Outline mode not showing post title if post is only quoted text
#124005 Searching: Showing titles of 'show_perms' but no 'read_perms' when searching
#124034 Lost password system not working

Ребят, поделитесь, плз, дистрибутивом IPB 1.3 Final, ну или хотя-бы именем оригинального файла (стучите в Асю или пишите на профильный мыл).

ЗЫ
IPB 1.3.1 не предлагать.

CyberPilgrim
Но RC1 почемуто не вышел....

Цитата:

Но RC1 почемуто не вышел....

Так вроде обещали IPB 2.0.0 PDR4, а потом уже IPB 2.0.0 RC1...

eika
Если тебе всё ещё нужен дистриб IPB то пиши....могу выслать любой дистриб этого форума...вплоть до IPB 1.1.2

Lender

Цитата:

Если тебе всё ещё нужен дистриб IPB то пиши....могу выслать любой дистриб этого форума...вплоть до IPB 1.1.2

А не мыг бы ты их всех положить куда-нить на HTTP/FTP?

киньте в меня, плис, последней версией. обзательно русской.

basketart@ua.dm

solodovnik
Проверяй мыло...

У вас уже крыша что ли поехала в этой теме свое Г постить?
Первый вроде еще ньюб, но creeper - тебе то не стыдно?

А чем отличаются IPB 1.x от IPB 2.x?

Цитата:

А чем отличаются IPB 1.x от IPB 2.x?

Ниже безопасность, меньше функций.

valhalla

Цитата:

А чем отличаются IPB 1.x от IPB 2.x?

+

Цитата:

В этой теме только сами новости и никакого обсуждения!

=ответ

2All


Цитата:

В этой теме только сами новости и никакого обсуждения!

Вышла IPB 2.0.0 PF3
Скачать ее можно отсюда

IPB 2.0.0 PF4 для всех - 10 сентября... брать можно на оффсайте http://www.invisionboard.com/download/index.php?act=dl&s=1&id=26

Вышел финал IPB 2.0.0 для клиентов. Скачать можно с оффсайта при наличии клиентского логина и пароля. Ждем свободного доступа