IP.Board 2.2.x i 2.3.x Security Patch

[DawPi]

Info:

Krytyczna poprawka do forum IP.Board w wersji 2.2.x i 2.3.x.

Problem:

możliwe przeprowadzenie ataku SQL injection oraz zdalnego wywołania zapytania SQL.

Rozwiązanie:

Pobierz plik xmlout.zip i wyślij go do katalogu sources/action_public/ nadpisując obecny plik lub postępuj wg poniższej instrukcji.

Otwórz plik: sources/action_public/xmlout.php

Znajdź:

'where'  => "{$check_field}='{$name}'",

Zamień na:

'where'  => "{$check_field}='". $this->ipsclass->DB->add_slashes( $name ) . "'",

Zapisz i wyślij.

Z racji tego, że jest to krytyczna poprawka zalecam natychmiastowe działania!

Pozdrawiam,

Dawid

[Gość Novy]

Dzięki za mejla o łatce, jestem za tym, że w przypadku takich sytuacji jak ta wysyłać masowe informacje. Nie każdy codziennie sledzi poczynania programistów IPB.

Pozdro

[DawPi]

Tak też będę robił ;-)

Dzięki za dobre słowo..

[subek]

Wielkie dzieki DawPi, jestes wielki

Edytowane 29 Sierpnia 2008 przez subek

[Gość Flanger]

Podmienilem, nie edytowalem... mam nadzije ze nie ma wiecej bledow

[KliczeK]

Wiedziałem że jest błąd SQL injection, lecz nie miałem czasu na udowodnienie tego. Jak widać, szybciej wydali patcha, niż ja znalazłem błąd.

Dzięki DawPi.

[AMIGAnTOMEK]

Podziękował.

[Bartek]

Podpowie ktoś, która to linijka

EDIT: Dobra. Już nieważne. Wysłałem do nich ticketa, bo przy mojej wprawie, to na 99% coś zepsuję, i potem będę miał problemy .

Edytowane 30 Sierpnia 2008 przez Bartek

[DawPi]

Podpowie ktoś, która to linijka

Dokładnie linia 1076

EDIT: Dobra. Już nieważne. Wysłałem do nich ticketa, bo przy mojej wprawie, to na 99% coś zepsuję, i potem będę miał problemy .

Notatnik i CTRL+F ?

[Bartek]

Heheh. CTRL+F Nawet o tym nie wiedziałem... Ale i tak zrobili mi to od ręki (5 minut od zgłoszenia) .

[DawPi]

Wiesz, wysłanie czystego pliku na FTP to góra 30s

[Bartek]

No niby tak . Dobra, następnym razem coś takiego spróbuję zrobić sam

Edytowane 30 Sierpnia 2008 przez Bartek

[TechnoDream]

dzieki za info i za latke

[Gexem]

Dziękować

Edytowane 31 Sierpnia 2008 przez Gexem

[Gość lukasz1989]

dzieki za e-maila

[jojo]

Jak zapewne wiecie aby wykonać zapytanie do bazy mysql trzeba znać nazwę tablicy, dlatego prostym sposobem na wykluczenie takiego typu ataku jest zmiana prefiksu tabel

[DawPi]

Jakbyś widział kod tego exploita to byś wiedział, że to można obejść.

Nie zabezpieczaj się, przecież nie musisz

[seba-zzdw]

Według mnie w takim skrypcie jak I.P.B. nie powinny występować w ogóle błędy z sql injection... tym bardziej, że nie jes to to darmowy skrypt rozwijany przez grupkę hobbystów...

Swoją drogą dobra robota DawPi.

[godfather]

Teraz to i ja podziękuję, prawie miesiąc czasu, ale poprawkę wstawiłem

@up

to tajne info, ale podobno ipb pisali ludzie, więc błędy wchodzą czasem w grę

Edytowane 25 Września 2008 przez godfather

[DawPi]

to tajne info, ale podobno ipb pisali ludzie, więc błędy wchodzą czasem w grę

Zabiłeś mnie tym ;-) Trafnie..