Jump to content
Дизайн и модификация IPS Community IPBSkinsBETA
Search In
  • More options...
Find results that contain...
Find results in...
Sign in to follow this  
cris

XSS в админке IP.Board 3.x (все ветки) от 20.02.2012

Recommended Posts

Еще раз сорри если все таки не туда написал!!

Реально такое или понт, если да то как от этого защититься!

 

Ссылка на форум без копирайтов разработчиков удалена

Share this post


Link to post
Share on other sites

1. Не посмотреть. [#10344] У вас нет прав для просмотра этой темы.

2. Форум не имеет копирайтов. Вы нарушаете лицензионное соглашение и права разработчиков.

 

Читайте пункт 7 правил форума.

Что интересно, поставить свой копирайт Вы не постеснялись.

Share this post


Link to post
Share on other sites

В АЦ появилось сообщение об уязвимости:

 

Сообщения IP.Board

 

A security vulnerability has been identified in IP.Board. If you installed IP.Board prior to Feb 20, 2012 and have not already applied the update, please see this announcement for more information. This notice will be dismissed on Feb 27, 2012.

 

Поскольку у меня IP.Board, купленный у IBR, доступа к счачиванию с IPS у меня нет. Не будет ли с моей стороны чрезмерной наглостью, попросить кого-нибудь, у кого есть доступ, скачать данный патч (IP.Board 3.1.4)?

Share this post


Link to post
Share on other sites

Давно известная дырка... Жаль, что залатали :)

 

Если интересно, то суть проблемы в форме "последние неудачные логины в АЦ". Злоумышленник может "попытаться авторизоваться" с логином, содержащим вредоносный код, и тогда у всех админов этот код отработает в блоке "последние попытки входа в АЦ", при поптыке просмотреть всплывающее окошко с деталями ошибки. Такие дела.

 

Патчи:

 

IP.Board 3.0.x

feb-3_0_x.zip

 

IP.Board 3.1.x

feb-3_1_x.zip

 

IP.Board 3.2.x

feb_3_2_x.zip

 

Оригинал: http://community.invisionpower.com/topic/357387-ipboard-security-update/

 

Насколько я знаю, лицензия не нужна, чтобы скачать критические патчи с таких анонсов, так что просто зарегистрируйтесь на форуме IPS и в следующий раз качайте оттуда сразу.

 

@Fisana, у вас запатчено, если что :)

  • Upvote 1

Share this post


Link to post
Share on other sites

Насколько я знаю, лицензия не нужна, чтобы скачать критические патчи с таких анонсов, так что просто зарегистрируйтесь на форуме IPS и в следующий раз качайте оттуда сразу.

Из под гостя тоже скачиваются архивы. Проверено ради интереса.

Share this post


Link to post
Share on other sites

Патчи:

Большое спасибо!

 

Насколько я знаю, лицензия не нужна, чтобы скачать критические патчи с таких анонсов, так что просто зарегистрируйтесь на форуме IPS и в следующий раз качайте оттуда сразу.

Из под гостя тоже скачиваются архивы. Проверено ради интереса.

Пробовал и как гость и с зарегистрированного на их форуме аккаунта. Не знаю, что я делаю не так, но у меня постоянно (сейчас опять проверил) выскакивает ошибка с пояснением:

 

Already an active IPS client?
Login with the same email address and password you use for the client area to access client-only areas.


Sorry, you don't have permission for that!

Share this post


Link to post
Share on other sites

Пробовал и как гость и с зарегистрированного на их форуме аккаунта. Не знаю, что я делаю не так, но у меня постоянно (сейчас опять проверил) выскакивает ошибка с пояснением:

Я писал про

Патчи:

которые можно скачать отсюда

под гостем.

 

А чтобы скачивать файлы из IPS Marketplace, нужна лицензия, купленная у ips.

Share this post


Link to post
Share on other sites

Установил патч - появилось вот такое:

 

Лицензия на IP.Board
Возникла проблема при соединении с сервером проверки лицензии.

 

До установки патча этого не было. В чём может быть причина?

Share this post


Link to post
Share on other sites

Вероятно, лицензию покупали не у разработчиков. При установке патча затерся какой-нибудь файлик с измененным запросом к серверу.

Share this post


Link to post
Share on other sites

В чём может быть причина?

ibresource уже несколько часов лежит.

Share this post


Link to post
Share on other sites

Да, однозначно сервер лицензий не работает у IBR. поэтому и то страшное сообщение:

 

Возникла проблема при соединении с сервером проверки лицензии.

Хотя на версии 3.2.1 от IBR нету такого. На версии 3.1.4 - есть.

И во все три админки c лицензиями от IBR вход секунд 40. Сравнил с форумом с лицензией от IPS - моментальный вход.

 

Кстати, форумы пропатчил, но предупреждение:

Сообщения IP.Board

 

A security vulnerability has been identified in IP.Board. If you installed IP.Board prior to Feb 20, 2012 and have not already applied the update, please see this announcement for more information. This notice will be dismissed on Feb 27, 2012.

так и осталось. Всюду.

Share this post


Link to post
Share on other sites

Да, однозначно сервер лицензий не работает у IBR. поэтому и то страшное сообщение:

Клиентские сервера у них тоже лежат. Сваливают на проблемы в канале.

 

И во все три админки c лицензиями от IBR вход секунд 40.

У меня нормальный вход.

Share this post


Link to post
Share on other sites

И во все три админки c лицензиями от IBR вход секунд 40.

Вот-вот, у меня происходит такое же.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...