Shaolin dnia 01 stycznia 2006 16:20 · 0 komentarzy · 6703 czytań ·  ·  · 

Odkryto exploit pozwalający niepoprawnie wykorzystać zmienną $show w messages.php. Niebezpieczeństwo istnieje jedynie wtedy, gdy serwer na którym zainstalowano PHP-Fusion ma wyłączoną funkcję magic_quotes (tak więc większość użytkowników jest bezpieczna). Zaleca się jednak jak najszybsze pobranie poprawionego pliku messages.php! Możecie pobrać plik korzystając z linka poniżej lub dokonać poprawek samodzielnie, korzystając z CVSa.

pobierz poprawiony plik messages.php lub dokonaj poprawek samodzielnie

Shaolin dnia 23 grudnia 2005 20:38 · 0 komentarzy · 6499 czytań ·  ·  · 

@Digitanium: Ostatnio otrzymałem raporty o 3 exploitach, 2 z nich można zaliczyć do ważnych. Przede wszystkim members.php posiadało bląd, który można było wykorzystać poprzez manipulację zmienną $sortby w adresie URL (załatane). Było też potencjalne ryzyko złego wykorzystania zmiennej $_POST['rating'] w ratings_include.php - to również zostało już naprawione. W końcu, istnieje problem z tagami [IMG] w maincore.php - można je oszukać zakańczając nazwę jakiegokolwiek folderu rozszerzeniem obrazka. To bardzo poważny błąd zwłaszcza, gdy admin odczyta wiadomość zawierającą tak spreparowany "obrazek". Szukałem rozwiązania bardzo długo, jednak sposób, w jaki udało mi się poprawić ten błąd nie jest wystarczający... Uwierzcie mi jednak, w chwili obecnej to najlepsze, co mogę zrobić. Błąd ten dotyka również v6.00.2xx, więcej informacji znajdziecie w CVSie.

Pobierz łatkę [PHP-Fusion v6.00.301 update]

Wooya dnia 15 grudnia 2005 19:33 · 24 komentarze · 16739 czytań ·  ·  · 

@Digitanium: PHP-Fusion 6.00.3 jest już dostępne w download na oficjalnej stronie PHP-Fusion. Główne zmiany w nowej wersji, to zwiększenie kompatybilności z najnowszymi wersjami PHP 5 i MySQL 5. Zostało także dodanych kilka rzeczy, których nie było w poprzedniej wersji PHP-Fusion:
- w głównych ustawieniach PHP-Fusion można wybrać, czy newsy mają być wyświetlane w jednej czy dwóch kolumnach,
- panele centralne mogą być teraz wyświetlane na każdej stronie, nie tylko na głównej,
- TinyMCE zostało zaktualizowane do wersji v2.0.1 final, która jest bardziej stabilna i zawiera lepsze tłumaczenia.

I w końcu nowy, uproszczony system generowania skór został zaimplementowany w 5 skórkach z głównego pakietu: Prime, Phoenix, Showcase, Similitude i Simplicity.

Uwaga: jeżeli używasz PHP-Fusion w wersji 6.00.2xx możesz dokonać aktualizacji używając pakietu PHP-Fusion-6.00.300 Upgrade, który zawiera tylko zaktualizowane pliki (wgraj je na serwer, a następnie kliknij na Aktualizacja w Panelu admina), w innym wypadku powinieneś dokonać aktualizacji przy pomocy pełnego pakietu PHP-Fusion-6.00.300. Jeżeli zamierzasz dokonać aktualizacji z wersji 6.00.1xx NIE NADPISZ PLIKU CONFIG.PHP!

Pliki do pobrania:
PHP-Fusion v6.00.300 (2.18Mb).
PHP-Fusion v6.00.300 Upgrade (1.83Mb).
oraz w Laboratorium Modułów!!

Wooya dnia 13 grudnia 2005 18:11 · 5 komentarzy · 6833 czytań ·  ·  · 

@Digitanium: Ponieważ dostaję coraz więcej zgłoszeń, że użytkownicy PHP-Fusion usuwają ze stopki informacje o prawach autorskich bez naszej zgody, czuję, że musimy odnieść się na temat tego zjawiska. Jak wiecie, PHP-Fusion jest udostępniane na zasadzie warunków użytkowania zawartych w licencji GNU/GPL v2. O ile możecie modyfikować kod PHP-Fusion w dowolny sposób, o tyle usuwanie ze stopki informacji "Powered by PHP-Fusion" lub usuwanie informacji autorskich zawartych w plikach pakietu PHP-Fusion bez naszej zgody - JEST ZABRONIONE.

Nie żądamy od Was, abyście płacili za nasz system. Wszystko, o co prosimy, to pokażcie, że respektujecie zachowanie informacji w stopce - "Powered by PHP-Fusion". Jeżeli na prawdę chcecie usunąć informacje autorskie ze stopki, przeczytajcie informacje o zasadach licencjonowania, cenach i formach płatności zawartych na stronie PHP-Fusion Licencing. Dziekujęmy bardzo za uwagę.

Nick Jones aka Digitanium

Na podstawie www.php-fusion.co.uk - Wooya

Shaolin dnia 05 grudnia 2005 14:24 · 11 komentarzy · 9830 czytań ·  ·  · 

@Digitanium: PHP-Fusion v6.00.3 będzie gotowe szybciej, niż planowałem. Wersja ta będzie kompatybilna z MySQL 5, poza tym będzie można wybrać rozmieszczenie newsów (jedna lub dwie kolumny) z poziomu Panelu Admina. Znajdziecie tam również ulepszone dodawanie centralnych paneli i zaczątki lepszego, znacznie prostszego systemu skórek! Premiera już wkrótce!

Hayne dnia 05 grudnia 2005 09:13 · 0 komentarzy · 5815 czytań ·  ·  · 

Digitanium udostępnił swoją przeglądarkę CVS'a szerokiemu gronu odbiorców. Podobno ptaszki caly czas ćwierkały mu o tym nad głową odkąd tylko miesiąc temu pojawiła się ona [przeglądarka oczywiscie :D] na jego stronie.

Do pobrania: TUTAJ!

SebaZ dnia 30 listopada 2005 00:28 · 5 komentarzy · 6130 czytań ·  ·  · 

Nick (Digitanium) Jones złożył oficjalną deklarację, że wśród developerów rozpoczynają się prace nad kolejną wersją PHP-Fusion. Nie zdradził czy będzie to wersja 6.00.3, a może 7.0... Na razie na "stole" składane są pomysły. Stwierdził jednak, że największym priorytetem jest dostosowanie PHP-Fusion do MySQL 5. Będzie to możliwe głównie dzięki temu, że PHP-Fusion działa świetnie z PHP 5 na Apache lub IIS 5/6 i stawia to go w komfortowej sytuacji braku przymusu adaptowania dotychczasowych wersji do tych standardów. Jednocześnie zaapelował do ludzi: autorów wtyczek i modyfikacji, aby także poczynili stosowne kroki do dostosowania ich kodów do MySQL 5.

Digi zdradził także, że planuje stworzenie silnika do wyświetlania skór (themów) co ma ułatwić ich tworzenie. Napisał już pewien prototyp takiego engine'u (chciałoby się powiedzieć wreszcie i zapytać Czemu dopiero teraz? Dlaczego dopiero przy 6 wersji?)
Aby uspokoić wszystkich zapewnił, że jest to narazie tylko pomysł, który narodził się w jego głowie i jeśli dojdzie do jego wykonania nowy sposób wyświetlania themów będzie w pełni kompatybilny ze starymi skórkami.

Na koniec standardowo już podziękował wszystkim, którzy pomogli i pomagają tworzyć PHP-Fusion tak ciepłym i przyjaznym CMS'em. Wyraził również nadzieję, że będzie tak nadal i będzie trwało jeszcze długo, co skwitował niepozornym :) (uśmieszkiem jakby ktoś nie wiedział :P)

SebaZ dnia 30 listopada 2005 00:20 · 0 komentarzy · 5591 czytań ·  ·  · 

Tym razem został wykryty i usunięty exploit w pliku messages.php. Umożliwiał on poprzez odpowiednie spreparowanie adresu dostanie się do bazy danych i skasowanie jej.
Został takze poprawiony drobny błąd, który powodował niechciane komunikaty podczas próby przenoszenia tematów z forum w którym był tylko jeden temat (prawie niezauważalne dla wielu użytkowników, a jednak komuś się przytrafiło).



Tutaj znajdziesz poprawkę.

Pieka dnia 20 listopada 2005 14:03 · 0 komentarzy · 5371 czytań ·  ·  · 

W ostatnich dniach został wykryty i zgłoszony pomniejszy exploit, znajdujący się w plikach index.php, options.php oraz viewforum.php.
Naprawiłem zgłoszony błąd i wydałem poprawkę niwelującą działanie tegoż skryptu.
Wersja instalacyjna została uzupełniona o poprawione pliki.

Jeśli wolisz uaktualnić pliki samemu, skorzystaj z dostępnego na stronie CVS'a.