XSS в админке IP.Board 3.x (все ветки) от 20.02.2012

[cris 0]

Еще раз сорри если все таки не туда написал!!

Реально такое или понт, если да то как от этого защититься!

 

Ссылка на форум без копирайтов разработчиков удалена

[Fisana 700]

1. Не посмотреть. [#10344] У вас нет прав для просмотра этой темы.

2. Форум не имеет копирайтов. Вы нарушаете лицензионное соглашение и права разработчиков.

 

Читайте пункт 7 правил форума.

Что интересно, поставить свой копирайт Вы не постеснялись.

[karlson_a1 0]

В АЦ появилось сообщение об уязвимости:

 

Сообщения IP.Board

 

A security vulnerability has been identified in IP.Board. If you installed IP.Board prior to Feb 20, 2012 and have not already applied the update, please see this announcement for more information. This notice will be dismissed on Feb 27, 2012.

 

Поскольку у меня IP.Board, купленный у IBR, доступа к счачиванию с IPS у меня нет. Не будет ли с моей стороны чрезмерной наглостью, попросить кого-нибудь, у кого есть доступ, скачать данный патч (IP.Board 3.1.4)?

[Ritsuka 540]

Давно известная дырка... Жаль, что залатали :)

 

Если интересно, то суть проблемы в форме "последние неудачные логины в АЦ". Злоумышленник может "попытаться авторизоваться" с логином, содержащим вредоносный код, и тогда у всех админов этот код отработает в блоке "последние попытки входа в АЦ", при поптыке просмотреть всплывающее окошко с деталями ошибки. Такие дела.

 

Патчи:

 

IP.Board 3.0.x

feb-3_0_x.zip

 

IP.Board 3.1.x

feb-3_1_x.zip

 

IP.Board 3.2.x

feb_3_2_x.zip

 

Оригинал: http://community.invisionpower.com/topic/357387-ipboard-security-update/

 

Насколько я знаю, лицензия не нужна, чтобы скачать критические патчи с таких анонсов, так что просто зарегистрируйтесь на форуме IPS и в следующий раз качайте оттуда сразу.

 

@Fisana, у вас запатчено, если что :)

[newbie 1,723]

Насколько я знаю, лицензия не нужна, чтобы скачать критические патчи с таких анонсов, так что просто зарегистрируйтесь на форуме IPS и в следующий раз качайте оттуда сразу.

Из под гостя тоже скачиваются архивы. Проверено ради интереса.

[karlson_a1 0]

Патчи:

Большое спасибо!

 

Насколько я знаю, лицензия не нужна, чтобы скачать критические патчи с таких анонсов, так что просто зарегистрируйтесь на форуме IPS и в следующий раз качайте оттуда сразу.

Из под гостя тоже скачиваются архивы. Проверено ради интереса.

Пробовал и как гость и с зарегистрированного на их форуме аккаунта. Не знаю, что я делаю не так, но у меня постоянно (сейчас опять проверил) выскакивает ошибка с пояснением:

 

Already an active IPS client?
Login with the same email address and password you use for the client area to access client-only areas.


Sorry, you don't have permission for that!

[newbie 1,723]

Пробовал и как гость и с зарегистрированного на их форуме аккаунта. Не знаю, что я делаю не так, но у меня постоянно (сейчас опять проверил) выскакивает ошибка с пояснением:

Я писал про

Патчи:

которые можно скачать отсюда

Оригинал: http://community.inv...ecurity-update/

под гостем.

 

А чтобы скачивать файлы из IPS Marketplace, нужна лицензия, купленная у ips.

[karlson_a1 0]

Установил патч - появилось вот такое:

 

Лицензия на IP.Board
Возникла проблема при соединении с сервером проверки лицензии.

 

До установки патча этого не было. В чём может быть причина?

[Fisana 700]

Вероятно, лицензию покупали не у разработчиков. При установке патча затерся какой-нибудь файлик с измененным запросом к серверу.

[Ph-A 395]

В чём может быть причина?

ibresource уже несколько часов лежит.

[GeoLik 42]

Да, однозначно сервер лицензий не работает у IBR. поэтому и то страшное сообщение:

 

Возникла проблема при соединении с сервером проверки лицензии.

Хотя на версии 3.2.1 от IBR нету такого. На версии 3.1.4 - есть.

И во все три админки c лицензиями от IBR вход секунд 40. Сравнил с форумом с лицензией от IPS - моментальный вход.

 

Кстати, форумы пропатчил, но предупреждение:

Сообщения IP.Board

 

A security vulnerability has been identified in IP.Board. If you installed IP.Board prior to Feb 20, 2012 and have not already applied the update, please see this announcement for more information. This notice will be dismissed on Feb 27, 2012.

так и осталось. Всюду.

[Ph-A 395]

Да, однозначно сервер лицензий не работает у IBR. поэтому и то страшное сообщение:

Клиентские сервера у них тоже лежат. Сваливают на проблемы в канале.

 

И во все три админки c лицензиями от IBR вход секунд 40.

У меня нормальный вход.

[karlson_a1 0]

И во все три админки c лицензиями от IBR вход секунд 40.

Вот-вот, у меня происходит такое же.