¿Nuevo usuario?
Puedes registrarte aquí 		 
       
Menú principal
 
 Navegación
Buscar
dpForo
dpFAQ
dpManuales
dpDescargas
dpThemes
Noticias por Temas
Recomiéndanos
Enlaces
Créditos
dzStaffStatus
Miembros:  Administradores
No Conectado  el_cuervo  
No Conectado  Dixso  
Miembros:  Colaboradores
No Conectado  AnyKiller  
No Conectado  nestormateo  
No Conectado  docser  
Miembros:  Moderadores
No Conectado  cardiru  
No Conectado  javiermisol  
Miembros:  Traductores
No Conectado  gnrx  
Miembros:  Miembros:
Ultimo:  Nuevos Hoy: 7
Ultimo:  Nuevos Ayer: 7
Ultimo:  Total: 71478
Ultimo:  Ultimo:
unasaunasa
Miembros:  Conectados
Miembros:  Miembros: 0
Invitados:  Invitados: 59
Total:  Total: 59
Miembros:  Miembros Online
No hay miembros conectados
Sponsor
dp-Tools
 Generador de Menús
 Pop-Up Maker
 Generador de Bloques
 Generador de Módulos
Enlázanos


Texto del enlace:


Otros Banners:



Theme creado por
dev-postnuke.com

 Foro dev-postnuke.com
  Postnuke :: Creación de Foros
  Importante: fallo crítico de seguridad en foros phpbb y pnphpbb

Bienvenido invitado
Entrar en Tu Cuenta | Registrarse | Buscar | Ultimos Mensajes Dev-Postnuke.com |

Moderado por: el_cuervo, Dixso, AnyKiller, cardiru, javiermisol << Tema anterior   Tema siguiente >>
Imprimir tema
Autor Tema: Importante: fallo crítico de seguridad en foros phpbb y pnphpbb
AnyKiller
Enviado: 28/02/2005 a las 10:02
Moderador
Moderador

avatar

Karma: 7 (188 Votos)

Registrado: 12/10/04
Mensajes: 5145

Estado: Desconectado
Ultima visita: 11/06/08 		Se ha encontrado un importante fallo de seguridad en foros phpbb y pnphpbb hasta la version 2.0.12 (ésta incluida). Se recomienda actualizar cuanto antes a la versión 2.0.13 (en el caso de los que usen foros phpbb, los que usamos pnphpbb tendremos que editar archivos, explicado más adelante)

La noticia la pueden encontrar en esta página

Dicha vulnerabilidad, al parecer, permite a un usuario malintencionado realizar defaceos masivos, y para corregirlo hay que ir a includes/sessions.php, encontrar esta línea:

[php]if( $sessiondata['autologinid'] == $auto_login_key )[/php]

y sustituirla por

[php]if( $sessiondata['autologinid'] === $auto_login_key )[/php]

- Una segunda vulnerabilidad menos grave ha sido hallada en el archivo viewtopic.php. Para corregirla, hay que ir a viewtopic.php, encontrar esta linea (a ojo lo tendréis que hacer, me temo):

[php]$message = str_replace('\"', '"', substr(preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "preg_replace('#\b(" . $highlight_match . ")\b#i', '<span style=\"color:#" . $theme['fontcolor3'] . "\">\\1', '\0')", '>' . $message . '<'), 1, -1));[/php]

Y sustituirla por

[php]$message = str_replace('\"', '"', substr(@preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', ";@preg_replace('#\b(" . $highlight_match . ")\b#i', '<span style=\"color:#" . $theme['fontcolor3'] . "\">\\1', '\0')", '>' . $message . '<'), 1, -1)); [/php]

Espero no tener que notificar con demasiada frecuencia este tipo de bugs. El sitio pnphpbb.com parece estar caído o ha sido defaceado, porque no va o no sé.





No atiendo mensajes privados para dudas
AnyKiller Enviar MP WwW


razorman
Enviado: 28/02/2005 a las 10:02
Colaborador
Colaborador

avatar

Karma: 6 (17 Votos)

Registrado: 03/12/03
Mensajes: 392

Estado: Desconectado
Ultima visita: 05/07/07 		Hola Anykiller, gracias por la info, voy a actualizar ahora mismo.

Cita El sitio pnphpbb.com parece estar caído o ha sido defaceado, porque no va o no sé.


ultimamente esta varias veces caido, no se el motivo. No creo que sea para preocuparnos. Thankius!
razorman Enviar MP WwW
AnyKiller
Enviado: 28/02/2005 a las 10:02
Moderador
Moderador

avatar

Karma: 7 (188 Votos)

Registrado: 12/10/04
Mensajes: 5145

Estado: Desconectado
Ultima visita: 11/06/08 		Solo me he enterado de la noticia y he ido "digitalmente" corriendo (jajajaja) a avisar.

He enviado una noticia y todo (espero que me lo corrijan y añadan más datos como la url donde se avisa del bug)

Sobre lo del pnphpbb, sinceramente, no me parece normal que una web se caiga con tanta frecuencia (dejemos como excepción miarroba.com, que ya sus usuarios se han acostumbrado) :martillo:





No atiendo mensajes privados para dudas
AnyKiller Enviar MP WwW
NACHO-SOUND
Enviado: 01/03/2005 a las 03:03
Novato
Novato


Karma: 0 (0 Votos)

Registrado: 12/04/04
Mensajes: 6

Estado: Desconectado
Ultima visita: 10/04/05 		Code:
if( $sessiondata['autologinid'] == $auto_login_key )

está en la línea 181 :yltype:

Code:
$message = str_replace('\"', '"', substr(preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "preg_replace('#\b(" . $highlight_match . ")\b#i', '<span style=\"color:#" . $theme['fontcolor3'] . "\">\\1', '\0')", '>' . $message . '<'), 1, -1));

está en la línea 1302 :yltype:
NACHO-SOUND Enviar MP WwW




Powered by pnForum Version 2.6

Inicio  |  dpFaq  |  dpManuales  |  dpDescargas  |  dpThemes  |  Contacta

Web site powered by PostNuke MySQL PHP Postnuke Spain PHP RSSPixel Add to Technorati Favorites

Todos los logos y marcas registradas en este sitio son propiedad de sus respectivos dueños. Los comentarios son propiedad de sus autores, el resto es de este sitio Web (c) 2003, que fue creado con PostNuke, un sistema portal Web escrito en PHP. PostNuke es Software Libre liberado bajo la licencia GNU/GPL.

Dev-CMS.com :: Amplía tus horizontes.

HOSPEDAJE Y DOMINIOS -- Tu Hosting
Alojamiento Web --- Registro de Dominios