Выпущены важные обновления безопасности SMF 2.0.6 и 1.1.19

Автор digger®, 23 октября 2013, 07:10:38

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

digger®

Проект Simple Machines Forum выпустил важные обновления безопасности для SMF 1.1.x и SMF 2.0.x. Текущими версиями становятся SMF 1.1.19 и SMF 2.0.6.

Несколько уязвимостей было исправлено в обоих релизах. Чтобы быть уверенным в безопасности своих форумов, рекомендуется немедленное обновление. Также, были исправлены некоторые ошибки в линейке SMF 2.0. 
В SMF 2.0.6 исправлена проблема с попаданием PHPSESSID в canonical url, поэтому больше не требуется использование модов типа "Anti-SID canonical tag".

SMF 2.0.5 можно обновить до 2.0.6 используя менеджер пакетов. Вы должны увидеть уведомление об обновлении в панели администратора и менеджере пакетов, что позволяет легко загрузить и установить обновление. Если у вас нет уведомления об обновлении, запустите запланированное задание "Получение файлов с сайта Simple Machines".
Вы, также, можете скачать обновление для 2.0.5 со страницы загрузок официального сайта - smf_patch_1.1.19_2.0.6.tar.gz, и установить его с помощью менеджера пакетов.

SMF 1.1.18 можно обновить до 1.1.19 скачав обновление со страницы загрузок официального сайта - smf_patch_1.1.19_2.0.6.tar.gz, а также с помощью менеджера пакетов.

Если вы используете старые версии SMF, вы можете обновиться с помощью полного пакета обновления со  страницы загрузок официального сайта http://download.simplemachines.org.
Список изменений можно найти на странице загрузок:
http://download.simplemachines.org

Оригинал: http://www.simplemachines.org/community/index.php?topic=512964.0

Changelog:
Цитировать
SMF 2.0.6                                                       October 22 2013
===============================================================================

October 2013
-------------------------------------------------------------------------------
! Added some headers to help protect against clickjacking (thanks Jakob Lell for the report)
! Invalid avatars were not always properly cleaned up (thanks chaoztc for the report)
! Added protection against usernames being impersonated with Unicode space characters (thanks Jakob Lell for the report)
! Sessions weren't always cleaned up properly on logout (thanks creepernex for the report)
! Certain fields were accepted during registration even when they shouldn't be (thanks tomreyn for the report)
! Certain errors were unnecessarily shown during a failed registration and some of those were inappropriate anyway (thanks Labradoodle-360 for the report)
! Approving an account from a member's profile was not logged (thanks emanuele for the report)
! Approving an account from a member's profile did not always properly enforce security rules (thanks emanuele for the report)
! The PHPSESSID injector would also add it to the canonical link, breaking it (thanks to all who reported it)
! An invalid character was indicated in legacy attachment handling
! Under some circumstances the admin panel would not accept the number of verification questions you had entered (thanks BurkeKnight for the report)
! The help pages could sometimes accidentally direct users to non-existing pages (thanks AngelinaBelle for the report and Illori for the fix)

ALINA

Спасибо .Обновилась с 2.0.5 на 2.0.6 без проблем .

iaroslav

Из менеджера обновить не получилось, написал
Цитировать
Несмотря на то, что пакет был загружен на сервер, он выглядит пустым. Пожалуйста, проверьте, доступны ли для записи директория Packages и поддиректория "temp". Если по-прежнему сталкиваетесь с этой проблемой, попробуйте распаковать содержимое пакета на своем компьютере и загрузить распакованные файлы в созданную поддиректорию в директории Packages и повторите попытку установки. Например, если пакет называется shout.tar.gz, нужно:
1) Загрузить пакет на свой компьютер и распаковать файлы.
2) С помощью клиента FTP создать новую директорию в директории "Packages", например "shout".
3) Загрузить все файлы, распакованные из пакета, в созданную директорию.
4) Вернуться в менеджер пакетов и обновить страницу. Новый пакет будет автоматически обнаружен SMF.
Пришлось скачивать обновление по ссылке выше и обновлять уже с его помощью. Обновилось всё успешно.

karavan

Обновился через мод, все нормально. Правда в админке написано
Версия форума: SMF 2.0.6
Последняя версия SMF: SMF 2.0.5
а на клоне форума на том же сервере видит последнюю версию правильно... в чем может быть причина?

kak2z

Цитата: karavan от 23 октября 2013, 09:47:13
Обновился через мод, все нормально. Правда в админке написано
Версия форума: SMF 2.0.6
Последняя версия SMF: SMF 2.0.5
а на клоне форума на том же сервере видит последнюю версию правильно... в чем может быть причина?
в диспетчере задач запустите "Получение файлов с официального сайта SMF"
у меня тоже только что такое было..
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

Жека

Цитата: karavan от 23 октября 2013, 09:47:13Правда в админке написано
У меня после принудительного запуска задания "Получение файлов с официального сайта SMF" всё в норме.

Обновился 2.0.5 => 2.0.6
Одним глазом глянул, какие-то мелкие баги пофиксили, особенно с загрузкой аватаров там что-то сделали.

Istoric


karavan

Цитата: kak2z от 23 октября 2013, 10:58:39у меня тоже только что такое было..
Да, вроде само исправилось, спасибо.
Цитата: Жека от 23 октября 2013, 11:09:05У меня после принудительного запуска задания "Получение файлов с официального сайта SMF" всё в норме.
В тот момент не помагало. Возможно с другого провайдера зашло, но уже всё гуд.

DJ-X

#8
У меня глюк после обновления с 1.1.18 до 1.1.19 когда сохраняю сообщение.
На IIS и Nginx + PHP-Fpm.

Глюк появляется если вставить в сообщение этот код.
[html]
<iframe width="640" height="360" src="//www.youtube.com/embed/fHGKG9dyTKI?feature=player_detailpage" frameborder="0" allowfullscreen></iframe>
[/html]


Если в index.php убираю  заголовки для  минимальной защиты от пакостей тогда всё ОК.

// Emit some headers for some modicum of protection against nasties.
if (!headers_sent())
{
// Future versions will make some of this configurable. This is primarily a 'safe' configuration for most cases for now.
header('X-Frame-Options: SAMEORIGIN');
header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');
}


Похоже что это проблема браузера Google Chrome, помогает это.
header('X-XSS-Protection: 0; mode=block');

KVL

 Когда появилось уведомление в админках форумов - обновился через админки форумов с сайта официалов без проблем: на 1.1.19 и на 2.0.6. :)

Alex32

Как можно узнать какая версия на данный момент стоит? В подвале стоит - SMF 2.0.6 | SMF © 2011, Simple Machines. Значит получилось обновиться до SMF 2.0.6 ?

Жека

Alex32
В админке ж отображается версия, сразу как заходишь в неё.
Цитата: Alex32 от 24 октября 2013, 07:02:08В подвале стоит - SMF 2.0.6 | SMF © 2011, Simple Machines. Значит получилось обновиться до SMF 2.0.6 ?
Да.

hrustek


wwwserfer

#13
Обновился... SMF 1.1.18 ---> 1.1.19
После обновления у пользователей пропала возможность загружать аватары на сервер (про настройки и не справшивайте - все как надо, все верно. Аватары в моем случае грузятся в папку вложений.

Ошибки загрузки: (анимированный .gif)

по-русски:
ЦитироватьВаше вложение не может быть сохранено. Возможно файл больше, чем позволяет сервер.

Пожалуйста, проконсультируйтесь с Администратором для получения более подробной информации.

on english:
ЦитироватьYour attachment couldn't be saved. This might happen because it took too long to upload or the file is bigger than the server will allow.

Please consult your server administrator for more information.

Начал грешить на обновление.. Так и есть..

Вообщем, по обновлению 1-ой ветки:

$sourcedir/Profile.php
предлагают заменить
// Now try to find an infection.
while (!feof($fp))
{
if (preg_match('~(iframe|\\<\\?php|\\<\\?[\s=]|\\<%[\s=]|html|eval|body|script\W)~', fgets($fp, 4096)) === 1)
{
if (file_exists($uploadDir . '/avatar_tmp_' . $memID))
[at]unlink($uploadDir . '/avatar_tmp_' . $memID);

fatal_lang_error('smf124');
}
}
fclose($fp);


на это
// Now try to find an infection.
$prev_chunk = '';
while (!feof($fp))
{
$cur_chunk = fread($fp, 8192);

// Paranoid check. Some like it that way.
if (preg_match('~(iframe|\\<\\?|\\<%|html|eval|body|script\W|[CF]WS[\x01-\x0C])~i', $prev_chunk . $cur_chunk) === 1)
{
fclose($fp);
if (file_exists($uploadDir . '/avatar_tmp_' . $memID))
[at]unlink($uploadDir . '/avatar_tmp_' . $memID);

fatal_lang_error('smf124');
}

$prev_chunk = $cur_chunk;
}
fclose($fp);


именно после этой замены (пока в моем случае) аватары пользователям загрузить не удается.. Я понимаю, что все это в целях безопасности, но... что-то перемудрили..

Что предпринять? Пока в раздумьях.. buck

Добавлено:

Может быть это ("не так работает") как-то связано с версией PHP на сервере? У меня сейчас PHP 5.2.10

Лора

а что делать если я не обновляла свой форум еще до версии 2,0,5? Как поступить в таком случае? вначале обновиться до этой версии, а потом до следующей или сразу обновляться до 2.0.6? заранее благодарна за ответ.

kak2z

Цитата: Лора от 27 октября 2013, 18:37:44
а что делать если я не обновляла свой форум еще до версии 2,0,5? Как поступить в таком случае? вначале обновиться до этой версии, а потом до следующей или сразу обновляться до 2.0.6? заранее благодарна за ответ.
все правильно)
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

Лора

Что правильно? первое или второе? Обновляться вначале до 5-й версии, а потом до 6-ой ?

kak2z

Цитата: Лора от 27 октября 2013, 18:50:25
Что правильно? первое или второе? Обновляться вначале до 5-й версии, а потом до 6-ой ?
Обновляться вначале до 5-й версии, а потом до 6-ой
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

Лора


wwwserfer

Свой вопрос снимаю..
Получил ответ на офиц. форуме, все стало ясно..

karavan

Сегодня появилось в админке:
Информация о версиях:
Версия форума: SMF 2.0.6
Последняя версия SMF: SMF 1.1.19
:D


Хран

c 2.0.2 обновился пакетами до 2.0.6. Полет нормальный.

lolandmars

Привет, ребята! Вы не могли бы мне помочь настроить форум? У меня не получается изменить форму регистрации.

kak2z

Цитата: lolandmars от 06 января 2014, 19:15:53
Привет, ребята! Вы не могли бы мне помочь настроить форум? У меня не получается изменить форму регистрации.


а что с ней не так во первых.. а во вторых как это относится к критических обновлениям?
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

lolandmars

вОТ. нЕ ПОЛУЧАЕТСЯ НАСТРОИТЬ( Извините за офтоп

Серый Лис

Тоже обновился с 2.0.5 до 2.0.6 Все норм.
Огромное спасибо всем, всем!!!  Программистам и разработчикам и тем кто помогает дорабатывать оптимизации и моды.
А так же всем, всем форумчанам!!! которые растолковывают и помогают советами!

Maniac

#27
Здравствуйте. Вчера обновился до версии SMF 1.1.19 через админку. Сейчас обнаружил, что при нажатии на айпи любого пользователя, выдаётся набор непонятных знаков и символов, так же как и при попытке просмотреть логи ошибок форума. Возможно, это не все баги. Пока что увидел только это.

ЦитироватьаžбˆаИаБаКаА аБаАаЗб‹ аДаАаНаНб‹б...: Table './fkol_kold/smf_log_errors' is marked as crashed and should be repaired
аЄаАаЙаЛ: /home/fkol/public_html/Sources/Profile.php
аЁб,б€аОаКаА: 1970

Будьте добры, подскажите, как исправить этот баг?

Mavn

smf_log_errors- эта таблица повреждена нужно починить таблицу. Например при помощи phpmyadmin
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

Maniac

Если можно, не могли бы вы описать в деталях, как это сделать?

Mavn

SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

Maniac

Благодарю вас, от всей души. Буду разбираться. И прошу извинить, за то что не нашел самостоятельно нужную тему.