Обязательно обновите все продукты от DragonByte

Quote:

Hello TAIFUN,

We have just been notified of a potential minor XSS exploit that affects all our products. We take the security of our customers' sites very seriously, and we are issuing an immediate patch for all products to correct this issue.

If you are using the free Lite version of any of our products, or if you are using any of our free products, please download the latest version from our Store page: http://www.dragonbyte-tech.com/store/

If you have purchased any of our modifications, the fix has been retroactively applied to all past and current releases. Please download the latest version for your licences from your Client Area: http://www.dragonbyte-tech.com/clientarea/

We are sorry for the inconvenience.


Tip: Remember that you can change your "keyword" settings by following the link at the bottom of this email. This ensures you only get emails about the mods / subjects YOU are interested in. By default you will receive all emails if you checked the "Receive email from administrators" checkbox when you joined. We recommend ticking the "New Mods", "Security" & "Special Offers" boxes if nothing else. They won't be very frequent, but you could find something you love in there!


Thanks for reading,
The DragonByte Tech Team

Quote:

minor XSS exploit that affects all our products

все?
круто...
а нет там нигде отдельно описания, какая конкретно функция или что там они юзают поголовно во всех продуктах, оказалась уязвима?

о как...
все сразу?

Quote:

Originally Posted by Luvilla

какая конкретно функция или что там они юзают поголовно во всех продуктах

заметил, что во всех своих продуктах, как для тройки, так и для четверки, используется один и тот же класс шаблонизатора
не сравнивал с четверошным, но мне кажется выдран именно оттуда
а так же, используют конструкции в основных файлах (которые в корне форума обычно и по другому никак), которые динамически подключают другие файлы уже из своих каталогов по $_POST/$_GET запросам

Вечером посмотрю) И обновлю за одно.

Quote:

Originally Posted by Luvilla

все?
круто...
а нет там нигде отдельно описания, какая конкретно функция или что там они юзают поголовно во всех продуктах, оказалась уязвима?

Не-а. Такой информации нет.

Можно сравнить араксисом две версии одного продукта. Я их продукты не юзаю, поэтому не проверял.

Ну, я галерею лайтовую сравнил (с версией, которую забирал 29.10.14 ).

Кажись, единственное отличие это в dbtech\gallery\hooks\global_bootstrap_init_complete.php

было так:

PHP Code:

'utm_source' => str_replace('www.', '', $_SERVER['HTTP_HOST']), 


стало так:

PHP Code:

'utm_source' => str_replace('www.', '', htmlspecialchars_uni($_SERVER['HTTP_HOST'])), 


Может, конечно, галерею это не затронуло, фиг знает.

Да, везде исправлено

Code:

str_replace('www.', '', $_SERVER['HTTP_HOST']),

на

Code:

str_replace('www.', '', htmlspecialchars_uni($_SERVER['HTTP_HOST'])),

Там пришёл какой-то товарищ и говорит, что мол в vB Optimise XSS exploit
После чего видимо показал "как" и были все продукты обновлены.
Но... с vB Optimise интереснее)
dbtech\vboptimise\hooks\init_startup.php
было

<?php
require_once(DIR . '/dbtech/vboptimise/includes/class_vboptimise.php');
/*DBTECH_PRO_START*/
require_once(DIR . '/dbtech/vboptimise_pro/includes/class_vboptimise_overload.php');
require_once(DIR . '/dbtech/vboptimise_pro/includes/class_vboptimise_cdn.php');
/*DBTECH_PRO_END*/

vb_optimise::$prefix = $vbulletin->options['vbo_prefix'];
vb_optimise::assign($vbulletin->options['vbo_operator']);
vb_optimise::cache('datastore', $datastore_fetch);

if (VB_AREA == 'AdminCP')
{
vb_optimise::update();
}
?>

стало

<?php
require_once(DIR . '/dbtech/vboptimise/includes/class_vboptimise.php');
/*DBTECH_PRO_START*/
require_once(DIR . '/dbtech/vboptimise_pro/includes/class_vboptimise_overload.php');
require_once(DIR . '/dbtech/vboptimise_pro/includes/class_vboptimise_cdn.php');
/*DBTECH_PRO_END*/

$extracache = array();
if ($vbulletin->options['vbo_showresource'])
{
$extracache[] = 'vbo_resource_savings';
}

$extrafetch = array();
foreach ($extracache as $varname)
{
// datastore_fetch uses a different syntax
$extrafetch[] = "'$varname'";
}

// Now merge the prepared entries
$datastore_fetch = array_merge($datastore_fetch, $extrafetch);

if (isset($this) AND is_object($this))
{
// Forum inits within a class
$this->datastore_entries = array_merge((array)$this->datastore_entries, $extracache);
}
else
{
// AdminCP / ModCP inits normally
$specialtemplates = array_merge((array)$specialtemplates, $extracache);
}

vb_optimise::$prefix = $vbulletin->options['vbo_prefix'];
vb_optimise::assign($vbulletin->options['vbo_operator']);
vb_optimise::cache('datastore', $datastore_fetch);

if (VB_AREA == 'AdminCP')
{
vb_optimise::update();
}
?>

Это я сравнивал по последней скачанной 2.6.1 PRO

Слили мой форум из-за этого плагина, стояла версия 1.2.7, не увидел этой темы

а уже точно знаешь, что именно из-за этого хака?

Quote:

Originally Posted by Liked

не увидел этой темы

Поэтому лучше подписывайся на все темы с хаками, которые ставишь. Так меньше шанс проглядеть важную информацию.
Правда не знаю, было ли оповещение в темах с хаками.