VBsupport перешел с домена .ORG на родной .RU
Ура!
Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей
Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже: Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота. Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
До недавнегов ремени считал двиг 307 самым надёжным, но вот вчера зашёл рдин человек и заставил меня поверить в обратное.
Послал мне по лички пустое сообщение, я сразу понял что это снифер залех в код.
безопасен на уровне сегодняшнего дня - официально обнаруженых дыр нет..
@Set13
Простоузер
Join Date: Apr 2006
Posts: 30
Версия vB: 3.8.4
Reputation:
Novice 0
Репутация в разделе: 0
0
Это весь форум, что мне зделать что бы не переустанавливать а обновить не удаляя старый хелп
@zCarot
zМарковь
Хочет третью строчку =)
Join Date: May 2005
Location: Лольск
Posts: 2,883
Версия vB: 3.8.x
Reputation:
Гуру 7454
Репутация в разделе: 1223
0
ну тогда ищи по форуму патчи к 3.0.8, 3.0.9, 3.0.10, 3.0.11, 3.0.12, 3.0.13... удачи %) и поиск в зубы
@Set13
Простоузер
Join Date: Apr 2006
Posts: 30
Версия vB: 3.8.4
Reputation:
Novice 0
Репутация в разделе: 0
0
Huver, Мы наверно о разных вещах говарим, по умолчанию HTML в ББ кодах включен.. (Основные настройки\Настройки бб кодов)
есть ещё (Разделы и модераторы\Менеждер разделов\редактировать раздел\Разрешить HTML) вот тут он выключен по умолчанию.
kerk
k0t
Join Date: May 2005
Location: localhost
Posts: 28,862
Версия vB: 3.8.x
Пол:
Reputation:
Гуру 20340
Репутация в разделе: 8468
0
Set13, бб-код хтмл ни коим образом не может открыть дырку, потому что это бб-код, а не сырой HTML
@Set13
Простоузер
Join Date: Apr 2006
Posts: 30
Версия vB: 3.8.4
Reputation:
Novice 0
Репутация в разделе: 0
0
Иными словами - угроза реальна.
Я сегодня псотавил на локалхост 3 0 13 и импортировал дизайн старого форума 3 0 7, вроде бы внешне никаких изменений нет.
Завтра или после завтра буду переустанавливать на самом сайте если никакой заплатки не найду.
В настоящий момент распространение получила следующая уязвимость. Злоумышленник создает вредоносный файл переименовывает его как картинку и добавляет его к вам на форум через BBCode . В результате картинка в его сообщении не откроется, но удаленный код выполнится! Таким образом, злоумышленник может выполнить либо XSS либо чего по страшнее, в плоть, до получения информации из конфиг файла!
Версии форумов, которые узвимы:
VBulletin VBulletin 3.0.7
PunBB PunBB 1.2.6
phpBB Group phpBB 2.0.17
Last edited by Set13 : 04-03-2006 at 11:21 PM.
Reason: Добавлено сообщение
kerk
k0t
Join Date: May 2005
Location: localhost
Posts: 28,862
Версия vB: 3.8.x
Пол:
Reputation:
Гуру 20340
Репутация в разделе: 8468
0
Quote:
Originally Posted by Set13
В результате картинка в его сообщении не откроется, но удаленный код выполнится!
каким интересно образом?
что имеется ввиду под "вредоносный файл"? если это файл с пхп кодом, переименованный в *.gif, то сервак и будет его воспринимать как ГИФ, но уж никак не пхп
ну а так, как удаленный файл не есть картинка, то и увидишь на странице -> Х
VB 3.0.7 ломается, как защитится??
