Shaolin dnia 01 stycznia 2006 16:20 · 0 komentarzy · 7026 czytań ·  ·  · 

Odkryto exploit pozwalaj?cy niepoprawnie wykorzysta? zmienn? $show w messages.php. Niebezpiecze?stwo istnieje jedynie wtedy, gdy serwer na którym zainstalowano PHP-Fusion ma wy??czon? funkcj? magic_quotes (tak wi?c wi?kszo?? u?ytkowników jest bezpieczna). Zaleca si? jednak jak najszybsze pobranie poprawionego pliku messages.php! Mo?ecie pobra? plik korzystaj?c z linka poni?ej lub dokona? poprawek samodzielnie, korzystaj?c z CVSa.

pobierz poprawiony plik messages.php lub dokonaj poprawek samodzielnie

Shaolin dnia 23 grudnia 2005 20:38 · 0 komentarzy · 6799 czytań ·  ·  · 

@Digitanium: Ostatnio otrzyma?em raporty o 3 exploitach, 2 z nich mo?na zaliczy? do wa?nych. Przede wszystkim members.php posiada?o bl?d, który mo?na by?o wykorzysta? poprzez manipulacj? zmienn? $sortby w adresie URL (za?atane). By?o te? potencjalne ryzyko z?ego wykorzystania zmiennej $_POST['rating'] w ratings_include.php - to równie? zosta?o ju? naprawione. W ko?cu, istnieje problem z tagami [IMG] w maincore.php - mo?na je oszuka? zaka?czaj?c nazw? jakiegokolwiek folderu rozszerzeniem obrazka. To bardzo powa?ny b??d zw?aszcza, gdy admin odczyta wiadomo?? zawieraj?c? tak spreparowany "obrazek". Szuka?em rozwi?zania bardzo d?ugo, jednak sposób, w jaki uda?o mi si? poprawi? ten b??d nie jest wystarczaj?cy... Uwierzcie mi jednak, w chwili obecnej to najlepsze, co mog? zrobi?. B??d ten dotyka równie? v6.00.2xx, wi?cej informacji znajdziecie w CVSie.

Pobierz ?atk? [PHP-Fusion v6.00.301 update]

Wooya dnia 15 grudnia 2005 19:33 · 24 komentarze · 17938 czytań ·  ·  · 

@Digitanium: PHP-Fusion 6.00.3 jest ju? dost?pne w download na oficjalnej stronie PHP-Fusion. G?ówne zmiany w nowej wersji, to zwi?kszenie kompatybilno?ci z najnowszymi wersjami PHP 5 i MySQL 5. Zosta?o tak?e dodanych kilka rzeczy, których nie by?o w poprzedniej wersji PHP-Fusion:
- w g?ównych ustawieniach PHP-Fusion mo?na wybra?, czy newsy maj? by? wy?wietlane w jednej czy dwóch kolumnach,
- panele centralne mog? by? teraz wy?wietlane na ka?dej stronie, nie tylko na g?ównej,
- TinyMCE zosta?o zaktualizowane do wersji v2.0.1 final, która jest bardziej stabilna i zawiera lepsze t?umaczenia.

I w ko?cu nowy, uproszczony system generowania skór zosta? zaimplementowany w 5 skórkach z g?ównego pakietu: Prime, Phoenix, Showcase, Similitude i Simplicity.

Uwaga: je?eli u?ywasz PHP-Fusion w wersji 6.00.2xx mo?esz dokona? aktualizacji u?ywaj?c pakietu PHP-Fusion-6.00.300 Upgrade, który zawiera tylko zaktualizowane pliki (wgraj je na serwer, a nast?pnie kliknij na Aktualizacja w Panelu admina), w innym wypadku powiniene? dokona? aktualizacji przy pomocy pe?nego pakietu PHP-Fusion-6.00.300. Je?eli zamierzasz dokona? aktualizacji z wersji 6.00.1xx NIE NADPISZ PLIKU CONFIG.PHP!

Pliki do pobrania:
PHP-Fusion v6.00.300 (2.18Mb).
PHP-Fusion v6.00.300 Upgrade (1.83Mb).
oraz w Laboratorium Modu?ów!!

Wooya dnia 13 grudnia 2005 18:11 · 5 komentarzy · 7147 czytań ·  ·  · 

@Digitanium: Poniewa? dostaj? coraz wi?cej zg?osze?, ?e u?ytkownicy PHP-Fusion usuwaj? ze stopki informacje o prawach autorskich bez naszej zgody, czuj?, ?e musimy odnie?? si? na temat tego zjawiska. Jak wiecie, PHP-Fusion jest udost?pniane na zasadzie warunków u?ytkowania zawartych w licencji GNU/GPL v2. O ile mo?ecie modyfikowa? kod PHP-Fusion w dowolny sposób, o tyle usuwanie ze stopki informacji "Powered by PHP-Fusion" lub usuwanie informacji autorskich zawartych w plikach pakietu PHP-Fusion bez naszej zgody - JEST ZABRONIONE.

Nie ??damy od Was, aby?cie p?acili za nasz system. Wszystko, o co prosimy, to poka?cie, ?e respektujecie zachowanie informacji w stopce - "Powered by PHP-Fusion". Je?eli na prawd? chcecie usun?? informacje autorskie ze stopki, przeczytajcie informacje o zasadach licencjonowania, cenach i formach p?atno?ci zawartych na stronie PHP-Fusion Licencing. Dziekuj?my bardzo za uwag?.

Nick Jones aka Digitanium

Na podstawie www.php-fusion.co.uk - Wooya

Shaolin dnia 05 grudnia 2005 14:24 · 11 komentarzy · 10511 czytań ·  ·  · 

@Digitanium: PHP-Fusion v6.00.3 b?dzie gotowe szybciej, ni? planowa?em. Wersja ta b?dzie kompatybilna z MySQL 5, poza tym b?dzie mo?na wybra? rozmieszczenie newsów (jedna lub dwie kolumny) z poziomu Panelu Admina. Znajdziecie tam równie? ulepszone dodawanie centralnych paneli i zacz?tki lepszego, znacznie prostszego systemu skórek! Premiera ju? wkrótce!

Hayne dnia 05 grudnia 2005 09:13 · 0 komentarzy · 6110 czytań ·  ·  · 

Digitanium udost?pni? swoj? przegl?dark? CVS'a szerokiemu gronu odbiorców. Podobno ptaszki caly czas ?wierka?y mu o tym nad g?ow? odk?d tylko miesi?c temu pojawi?a si? ona [przegl?darka oczywiscie :D] na jego stronie.

Do pobrania: TUTAJ!

SebaZ dnia 30 listopada 2005 00:28 · 5 komentarzy · 6413 czytań ·  ·  · 

Nick (Digitanium) Jones z?o?y? oficjaln? deklaracj?, ?e w?ród developerów rozpoczynaj? si? prace nad kolejn? wersj? PHP-Fusion. Nie zdradzi? czy b?dzie to wersja 6.00.3, a mo?e 7.0... Na razie na "stole" sk?adane s? pomys?y. Stwierdzi? jednak, ?e najwi?kszym priorytetem jest dostosowanie PHP-Fusion do MySQL 5. B?dzie to mo?liwe g?ównie dzi?ki temu, ?e PHP-Fusion dzia?a ?wietnie z PHP 5 na Apache lub IIS 5/6 i stawia to go w komfortowej sytuacji braku przymusu adaptowania dotychczasowych wersji do tych standardów. Jednocze?nie zaapelowa? do ludzi: autorów wtyczek i modyfikacji, aby tak?e poczynili stosowne kroki do dostosowania ich kodów do MySQL 5.

Digi zdradzi? tak?e, ?e planuje stworzenie silnika do wy?wietlania skór (themów) co ma u?atwi? ich tworzenie. Napisa? ju? pewien prototyp takiego engine'u (chcia?oby si? powiedzie? wreszcie i zapyta? Czemu dopiero teraz? Dlaczego dopiero przy 6 wersji?)
Aby uspokoi? wszystkich zapewni?, ?e jest to narazie tylko pomys?, który narodzi? si? w jego g?owie i je?li dojdzie do jego wykonania nowy sposób wy?wietlania themów b?dzie w pe?ni kompatybilny ze starymi skórkami.

Na koniec standardowo ju? podzi?kowa? wszystkim, którzy pomogli i pomagaj? tworzy? PHP-Fusion tak ciep?ym i przyjaznym CMS'em. Wyrazi? równie? nadziej?, ?e b?dzie tak nadal i b?dzie trwa?o jeszcze d?ugo, co skwitowa? niepozornym :) (u?mieszkiem jakby kto? nie wiedzia? :P)

SebaZ dnia 30 listopada 2005 00:20 · 0 komentarzy · 5909 czytań ·  ·  · 

Tym razem zosta? wykryty i usuni?ty exploit w pliku messages.php. Umo?liwia? on poprzez odpowiednie spreparowanie adresu dostanie si? do bazy danych i skasowanie jej.
Zosta? takze poprawiony drobny b??d, który powodowa? niechciane komunikaty podczas próby przenoszenia tematów z forum w którym by? tylko jeden temat (prawie niezauwa?alne dla wielu u?ytkowników, a jednak komu? si? przytrafi?o).



Tutaj znajdziesz poprawk?.

Pieka dnia 20 listopada 2005 14:03 · 0 komentarzy · 5664 czytań ·  ·  · 

W ostatnich dniach zosta? wykryty i zg?oszony pomniejszy exploit, znajduj?cy si? w plikach index.php, options.php oraz viewforum.php.
Naprawi?em zg?oszony b??d i wyda?em poprawk? niweluj?c? dzia?anie tego? skryptu.
Wersja instalacyjna zosta?a uzupe?niona o poprawione pliki.

Je?li wolisz uaktualni? pliki samemu, skorzystaj z dost?pnego na stronie CVS'a.