Выпущены SMF 1.0.23, SMF 1.1.17 и SMF 2.0.3

[digger®]

Проект Simple Machines Forum выпустил обновления безопасности SMF 1.0.23, SMF 1.1.17 и SMF 2.0.3.
Обнаруженная во всех предыдущих версиях уязвимость устраняется с помощью этого обновления, поэтому всем рекомендуется немедленно обновить свои форумы, чтобы быть уверенными в их безопасности.
Кроме того, устранение другой уязвимости и некоторых проблем включены в обновления для 2.0.x.
Наиболее актуальным является исправление ​​проблемы при работе с PayPal: начиная с 1 февраля 2013 PayPal будет принимать только заголовки, которые соответствуют спецификации HTTP 1.1.

SMF 2.0.2 можно обновить до 2.0.3 используя менеджер пакетов. Вы должны увидеть уведомление об обновлении в панели администратора и менеджере пакетов, что позволяет легко загрузить и установить обновление. Если у вас нет уведомления об обновлении, запустите запланированное задание "Получение файлов с сайта Simple Machines".
Вы, также, можете скачать обновление для 2.0.2 со страницы загрузок официального сайта - smf_patch_2.0.3.tar.gz, и установить его с помощью менеджера пакетов.

SMF 1.1.16 можно обновить до 1.1.17 скачав обновление со страницы загрузок официального сайта - smf_patch_1.0.23_1.1.17.tar.gz, а также с помощью менеджера пакетов.

Для SMF 1.0.22 следует принять во внимание, что это будет, скорее всего, последнее обновление для этой версии SMF, которая достигла своего "конца жизни". Вы можете обновиться до 1.0.23 скачав обновление со страницы загрузок официального сайта - smf_patch_1.0.23_1.1.17.tar.gz патч, а также с помощью менеджера пакетов.

Если вы используете старые версии SMF, вы можете обновиться с помощью полного пакета обновления со  страницы загрузок официального сайта.

Список изменений можно найти на странице загрузок:
http://download.simplemachines.org

Обновление в виде мода:
http://custom.simplemachines.org/upgrades/
На данный момент еще не обновлены страницы с пакетами обновлений и языковыми пакетами на официальном сайта. Подождите немного.

[Frikers]

Спасибо за информацию. Обновился в автоматическом режиме с 2.0.2 на 2.0.3. Все гладко =)

[Yworld_garry]

Спасибо за уведомление, все отлично!!!

[hrustek]

Обновился, полет нормальный 
А вы почему не обновились еще?

[remingtone]

кто с кучей модов и переделок - обновляйтесь не апдейтом, а модом! http://custom.simplemachines.org/upgrades/index.php?action=upgrade;file=smf_patch_2.0.3.tar.gz;smf_version=2.0.2

иначе будете завидовать мертвым

[Жека]

Классно сделано обновление для 2.0.2 -- как мод SMF 2.0.3 Update.
Т.о., установив этот мод, если всё успешно, не надо переустанавливать другие моды

[remingtone]

во-во. там минимум изменений - только по критичным файлам. ничего важного в плане модов и дизайна не затрагивается

[slow]

что-то не пойму, у всех языковые пакеты smf_2-0-3 пустые архивы? Или же там нет изменений и можно пользоваться от 2.0.2?

[ВладимирК]

кто с кучей модов и переделок - обновляйтесь не апдейтом, а модом! http://custom.simplemachines.org/upgrades/index.php?action=upgrade;file=smf_patch_2.0.3.tar.gz;smf_version=2.0.2
иначе будете завидовать мертвым

Где скачать этот мод? Дайте ссылку.

[Mavn]

Обновление в виде мода:
http://custom.simplemachines.org/upgrades/

[ВладимирК]

Но там только SMF 2.0.1 to SMF 2.0.2 — Download
Там нет SMF 2.0.3. Не пойму. У меня и так Версия форума: SMF 2.0.2

[Mavn]

SMF 2.0.2 to SMF 2.0.3 — Download

а это чего?? внимательнее посмотрите

[remingtone]

как же вы админите, если не увидели даже знакомые цифры?  ПРЯМАЯ ССЫЛКА http://custom.simplemachines.org/mods/downloads/smf_patch_2.0.3.tar.gz

[Mavn]

ПРЯМАЯ ССЫЛКА http://custom.simplemachines.org/mods/downloads/smf_patch_2.0.3.tar.gz

специально не давал прямую ссылку для того чтобы народ видел от куда брать и хоть как то включал логику!

[karavan]

У меня в админке пока нет информации о новой версии, наверное нужно подождать.
Информация о версиях:
Версия форума: SMF 2.0.2
Последняя версия SMF: SMF 2.0.2
(подробнее)

[ВладимирК]

Да. Спасибо. Есть в самом низу поста SMF 2.0 .
Еле нашёл. Сложно как всё запутано. Ужасс! В жись бы не нашёл. По логике - новое должно быть позже, то есть в верху. Народ должен включать АНТИлогику. Ох уж этот народ.

[hrustek]

Еле нашёл. Сложно как всё запутано. Ужасс! В жись бы не нашёл. Ох уж этот народ.

[remingtone]

ну я тоже не сразу допер, что последняя версия может внизу стоять. не логично, учитывая что предпоследняя - вверху. но допер проверить все ))

нет информации о новой версии, наверное нужно подождать.

зачем? 

[BuxarNET]

а с 2,0 RC1 можно автоматом до 2,03 обновляться?

[digger®]

а с 2,0 RC1 можно автоматом до 2,03 обновляться?

Только через Large upgrade с переустановкой модов.

[karavan]

зачем?

Ну прошлые разы (2.0.1 и 2.0.2) ведь появлялось, и сразу давало ссылку на обновление. Странно, почему теперь не появляется? Более того, в "Обслуживании форума" нажал "Проверить версии используемых файлов" и опять - "SMF пакет    Ваша версия SMF 2.0.2    Последняя версия SMF 2.0.2"

[remingtone]

так прямая ссылка на мод обновления - выше))

[digger®]

Ну прошлые разы (2.0.1 и 2.0.2) ведь появлялось, и сразу давало ссылку на обновление. Странно, почему теперь не появляется? Более того, в "Обслуживании форума" нажал "Проверить версии используемых файлов" и опять - "SMF пакет    Ваша версия SMF 2.0.2    Последняя версия SMF 2.0.2"

Если у вас нет уведомления об обновлении, запустите запланированное задание "Получение файлов с сайта Simple Machines".

[crazyASD]

Обновился, полёт нормальный.

[karavan]

digger увы, не помогло ( если до завтра не появится, попробую обновиться модом.

[remingtone]

ага, обновишься, если тебя не ломанут до этого. жди дальше "обновление в один клик" )))

[karavan]

Весомый аргумент Обновился модом, полёт нормальный.

[Slavegirl]

ага, обновишься, если тебя не ломанут до этого. жди дальше "обновление в один клик" )))

А список выявленных уязвимостей в 2.0.2 публично не доступен?

[визирь]

ага, обновишься, если тебя не ломанут до этого. жди дальше "обновление в один клик" )))

интересно автор считает, что уязвимость в версии 2.0.2 появилась только после того, как появилось обновление до 2.0.3 )
А до этого значит с первого дня использования 2 версии, что ломанут, не страшно было?
Не знаешь о дырке - спишь спокойно ))

[remingtone]

меня ломали, может и через эту. после этого я снял копирайты

[ST]

после этого я снял копирайты

Те кто смогут  сломать форум думаю отличат смф от воблы или пхпбб.

Мне копирайты даже нравятся, вижу копирайт типа SMF 2.0 RC2, так сразу в мыслях что о форуме с технической стороны не особо думают...

[remingtone]

понятно, но когда находят тебя в поисковиках по запросам типа "SMF" - это не оч приятно и не добавляет оптимизма

[GeorG]

Представляю хакера, которому пофиг что ломать, он просто не может найти что именно... - О! Эврика (восклицает он про себя)!!! А не сделать ли мне запрос в поисковик на SMF...

[йфяцыч]

А не сделать ли мне запрос в поисковик на SMF...

А там сразу на первом месте форум okk`а палится...

[GeorG]

"Не повезло"

Вообще, первым делом, по такому запросу, ломали бы официальный форум и этот. Так что пока их взламывают (они же на первом месте), то зачем им браться за ваш? Какой резон?

[Inter]

"Не повезло"

Вообще, первым делом, по такому запросу, ломали бы официальный форум и этот. Так что пока их взламывают (они же на первом месте), то зачем им браться за ваш? Какой резон?

Этот вопрос логично было бы задать тем кто ломает необновленные форумы и тд и тп.
Если ломать оф. форум - больше проблем будет, если ломать простого смертного - вони меньше, профита больше.

[GeorG]

Ломают на заказ или те, кому "насолил" - местные "хулиганы" форума. Никто не ищет по поисковикам. Кому это надо?

А взломать официальный сайт, это круто, тут и без заказа, желающих много. Но вот почему-то установлен тот же движок, а взломать не могут. В чем тут проблема? Мне кажется тех, кого ломают, больше сами виноваты - их безалаберность, "дешёвые" пароли, вирусы на компе (тут согласитесь, уж больше не движок патчить надо, а голову его использующего).

[Inter]

Никто не ищет по поисковикам. Кому это надо?

http://ru.wikipedia.org/wiki/Santy_%28%D1%87%D0%B5%D1%80%D0%B2%D1%8C%29

КО: ломают по разным причинам - ради лулзов, ради денег, ради мести.

А взломать официальный сайт, это круто

а миллион ламеров взломать ещё круче, не?

Но вот почему-то установлен тот же движок

движок тот, да версия постарее - вот тебе и жертва на крючке

[hrustek]

GeorG, парсят поисковую выдачу на различные инъекции, через них заливают шеллы и как правило продают на хак форумах, так что основной процент взломом к сожалению идет с пс.

[GeorG]

Много раз уже ко мне обращались за помощью, в чистке форума от вируса. Естественно искалась причина заражения. Во всех случаях, выяснялось, что компьютер админа, перед этим был заражен вирусом, а уже через 2-3 дня, взломан форум. Да, был случай вроде, когда увели пароль с Total Commander, но один раз всего.

Inter, не в коем случае, я не говорю что пачить не надо, оставляя дыры. Просто удаление копирайтов, и поиск их через поисковик, с целью взлома, чего угодно... Кажется ИХМО, бредом.

[remingtone]

Представляю хакера, которому пофиг что ломать, он просто не может найти что именно... - О! Эврика (восклицает он про себя)!!! А не сделать ли мне запрос в поисковик на SMF...

не умничай, я приводил скриншот поисковых запросов на этом форуме. simple machines, SMF, powered by SMF и т.д.

GeorG, парсят поисковую выдачу на различные инъекции, через них заливают шеллы и как правило продают на хак форумах, так что основной процент взломом к сожалению идет с пс.

подтверждаю, себя находил на хакфоруме

тот же движок, а взломать не могут.

там 30 админов сидит и мониторит 24\7\365. может и ломают. а мне вот больше делать нехрен, кроме как сидеть и защищать дырявый движок ради сраных копирайтов, по которым ко всему еще и утекает вес моего сайта.

[Roman]

Slavegirl, листинг всех изменений, как обычно, тут: http://custom.simplemachines.org/upgrades/index.php?action=upgrade;file=smf_patch_2.0.3.tar.gz;smf_version=2.0.2

[Mavn]

там 30 админов сидит и мониторит 24\7\365

в выдаче по ключевым словам двига в первых рядах,
24/7/365 не сижу возле сервака(на нашем серваке кстати более 100 доменов разных людей висит) и проекта в целом.
админю сервак и сайт только я(хотя не скрою у некоторых людей есть доступ к админке форума)
с 2005 года даже когда был найден баг в <1.1.9 через который поломалась множество форумов наш остался целым.
в общем пока нас миновала участь быть взломанными, хотя попытки взлома предпринимаются регулярно. надеюсь все же  участь быть взломанными нас минует...

Лицензия не запрещает удалять копирайты с версии 2.0 и выше, я на это смотрю сквозь пальцы если у кого то удалены копирайты.
Вообще не понимаю к чему столько шума...
Я делаю проще в зависимости от настроения могу просто игнорить тех людей у кого удалены копирайты, выборочно так сказать хочу оказываю поддержку хочу нет.. мое право... точно такое же как и ваше право удалять копирайты. Если в лицензии четко прописаны условия удаления копирайтов и оказания поддержки, то в общем оставляем за собой право оказывать или не оказывать эту самую поддержку тем кто удалил копирайты. По-моему справедливо

[remingtone]

вполне логично. ну и + всегда можно съехать на удаленные копирайты, если не знаешь ответа на вопрос

[Mavn]

всегда можно съехать на удаленные копирайты, если не знаешь ответа на вопрос

это маловероятно...
сейчас учитывая приход некоторых людей вопросов без ответов практически не остается, а если что то остается то это либо то что 100 раз обсуждалось либо вопрос задан так что в итоге не понятно чего же именно у человека случилось

[remingtone]

да вот пример http://www.simplemachines.ru/index.php?topic=15366.0

[chilly86]

обновился модом
форум в шоке 

Информация о версиях:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 2.0.2

[Mavn]

да вот пример http://www.simplemachines.ru/index.php?topic=15366.0

да вот ответ

оставляем за собой право оказывать или не оказывать эту самую поддержку тем кто удалил копирайты. По-моему справедливо

[karavan]

обновился модом
форум в шоке 
Информация о версиях:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 2.0.2

chilly86 точно та же картина.

[GeorG]

У меня всё нормально:

Информация о версиях:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 2.0.3

[Mavn]

chilly86 точно та же картина.

Диспетчер задач -  Получение файлов с сайта Simple Machines

[karavan]

Диспетчер задач -  Получение файлов с сайта Simple Machines

Пробовал, не помогает.

[remingtone]

да вот ответ

[Mavn]

Пробовал, не помогает.

на самом деле тут может быть две причины
либо сервак не подтаскивает эти файлы по каким то своим причинам либо сервак смф по каким то причинам файлы не отдает
просто подождите некоторое время все само разрешится

[chilly86]

Пробовал, не помогает.

аналогично
в принципе не парит... главное что обновился

[karavan]

просто подождите некоторое время все само разрешится

Ок.

аналогично в принципе не парит... главное что обновился

Согласен.

[Slavegirl]

Сегодня в полночь была взломана. Пока не знаю причину (админ сервера еще не разбирался), но думаю потому, что вовремя не обновилась. Была внедрена 1 строка в конец файла: "Themes/default/scripts/script.js", которая отправляла запросы на домены "you-have-cox.com, -net, -info". Хотя эти домены зарегистрированы только вчера, Касперский уже определил, что форум заражен, и домены им блокируются.

Если есть необходимость, могу выложить пример вредоносного кода, внедренного в "script.js".

[kak2z]

Сегодня в полночь была взломана. Пока не знаю причину (админ сервера еще не разбирался), но думаю потому, что вовремя не обновилась. Была внедрена 1 строка в конец файла: "Themes/default/scripts/script.js", которая отправляла запросы на домены "you-have-cox.com, -net, -info". Хотя эти домены зарегистрированы только вчера, Касперский уже определил, что форум заражен, и домены им блокируются.

Если есть необходимость, могу выложить пример вредоносного кода, внедренного в "script.js".

помнится мне что это уже у Вас не первый случай взлома... может дело все таки в хостинге?? может он где то там дырявый.. ??

[Slavegirl]

Нет, до этого взломов не было. Были проблемы с ресурсоемкими модами, которые ложили сервер.
Хостинг Лизвеб, VPS. Если что-то случается с сервером, то это исключительно наша вина, но никак не хостинга.

Обновилась до 2.0.3 через установку мода прямо из панели администрирования. Процесс прошел успешно, ошибок в логах нет.

Если изменили файл *.js, выходит, злоумышленник получил пароль на ФТП? Или существуют другие способы изменения кода файлов без паролей?

[digger®]

Если изменили файл *.js, выходит, злоумышленник получил пароль на ФТП? Или существуют другие способы изменения кода файлов без паролей?

Ходит червяк по виндам, собирает пароли сохраненные в фтп клиентах. Следом проходит бот, заражает php/js файлы по фтп.
Уязвимости в движках.
Залитые шеллы.

[Slavegirl]

Форум взломали с помощью загруженного аватара GIF с программным кодом внутри. Червяк в системе - маловероятно (0,01%), на моем компьютере KIS с автообновлением. Второй администратор входит на сервер через MacOS.

Код в конце файла аватара:

Код Выделить Развернуть


$auth_pass = "";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace("/.*/e","вредоносный код (образец могу выложить в личке)",".");?>


Это уязвимость SMF 2.0.2? На virustotal на аватар срабатывают только 3 антивируса из 36. Как защититься в будущем от подобного?

[kak2z]

Форум взломали с помощью загруженного аватара GIF с программным кодом внутри. Червяк в системе - маловероятно (0,01%), на моем компьютере KIS с автообновлением. Второй администратор входит на сервер через MacOS.

Код в конце файла аватара:

Код Выделить Развернуть


$auth_pass = "";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace("/.*/e","вредоносный код (образец могу выложить в личке)",".");?>


Это уязвимость SMF 2.0.2? На virustotal на аватар срабатывают только 3 антивируса из 36. Как защититься в будущем от подобного?

наверно пережимать аватары надо) я так и делаю)

[Slavegirl]

kak2z, спасибо!
Уже выяснилось, дыра была в nginx, обновление на 2.0.3 на уязвимость не повлияло. PHP-код внутри аватара давал доступ к файловому менеджеру.

[karavan]

наверно пережимать аватары надо) я так и делаю)

Расскажите подробнее, как так делать? Это выходит всем угрожает?

[Istoric]

Да.. как пережимать аватары?

[Slavegirl]

Дыра очень опасная, и касается не только SMF, а практически любого ресурса.
Решение главного системного администратора:

Закрыть дыру можно добавив в php.ini cgi.fix_pathinfo = 0
по умолчанию он 1
и php пытается исправить путь к файлу если ему не правильно его дали

Прошу прощения, что вышеописанная информация (как только что выяснилось) не совсем касается данной темы.

[Istoric]

А как узнать вообще заражен форум или нет? Где посмотреть как проверить?

[Mavn]

Уже выяснилось, дыра была в nginx

проблема стара как мир http://habrahabr.ru/post/100961/
и вы еще говорите

Если что-то случается с сервером, то это исключительно наша вина, но никак не хостинга.

все говорит о том что админ сервака явно не ведает что творит

[Slavegirl]

Спасибо за ссылку, уважаемый Администратор Mavn!

Как говорят, лучше учиться на чужих ошибках. Но все возможные проблемы невозможно охватить, иногда целых 2 года мало, чтобы о них узнать, пока самостоятельно с ними не столкнешься. Ресурс мой просто достаточно привлекательный, постоянно идут попытки взлома (перебор паролей на ФТП, SSH), вот и попались на крючок через незакрытую уязвимость (хотя и провисели на нем всего 6 часов).

Недавно наблюдала, как полмесяца назад форум на vBulletin моей же тематики с посещаемостью 300 тыс. / сутки целую неделю подряд каждый день ломался ребятами из CuraHack. Так что от подобных происшествий не застрахован абсолютно никто.

---------------

Просматривала файлы модификации апдейта 2.0.3 и заметила, что в некоторых местах были внесены изменения в запросы к БД. До конца не разобралась, эти изменения касаются только мер безопасности или также повышения производительности работы БД?

[Istoric]

Так а что все таки с пережатиями аватар?  Или это не всем надо?  Или от хостера зависит? Я запутался (

[Жека]

Расскажите подробнее, как так делать?

В админке:

Вложения и аватары => Свойства аватаров: Загружаемые аватары

Обрабатывать потенциально опасные аватары

При выборе этой опции будет производиться попытка перекодирования загружаемых аватаров, для обеспечения более высокой безопасности.
Обратите внимание: после перекодирования все анимированные изображения станут статичными.
Данная функция работает только при наличии установленного GD-модуля на сервере.

Как видите, если включить её, то невозможно будет юзерам установить анимированны аватары, что для меня не приемлемо и поэтому эта опция на моём форуме выключена.

Еще там же интересная опция "Выполнять экстенсивную проверку загружаемых аватаров"

Slavegirl, если у вас сохранилась эта gif-ка, можете попробовать выставить эту галочку и попробовать поставить себе этот аватар.
Интересно, получится или нет

[Slavegirl]

Slavegirl, если у вас сохранилась эта gif-ка, можете попробовать выставить эту галочку и попробовать поставить себе этот аватар.
Интересно, получится или нет

Пробовала, эта опция на аватар не повлияла.

Все же считаю, что данная уязвимость не только в php/nginx, но и в SMF, так как движок форума при настройках по-умолчанию для аватаров допустил загрузку на сервер вредоносного кода.

[Istoric]

В админке:

Вложения и аватары => Свойства аватаров: Загружаемые аватары

Обрабатывать потенциально опасные аватары

При выборе этой опции будет производиться попытка перекодирования загружаемых аватаров, для обеспечения более высокой безопасности.
Обратите внимание: после перекодирования все анимированные изображения станут статичными.
Данная функция работает только при наличии установленного GD-модуля на сервере.

Как видите, если включить её, то невозможно будет юзерам установить анимированны аватары, что для меня не приемлемо и поэтому эта опция на моём форуме выключена.

Еще там же интересная опция "Выполнять экстенсивную проверку загружаемых аватаров"

Slavegirl, если у вас сохранилась эта gif-ка, можете попробовать выставить эту галочку и попробовать поставить себе этот аватар.
Интересно, получится или нет

Спасибо )) У меня оказывается уже галки стоят в нужных местах )

[Жека]

Пробовала, эта опция на аватар не повлияла.

Т.е. с выставленной галочкой "Выполнять экстенсивную проверку загружаемых аватаров" движок пропускает эту gif-ку?

А если выставить "Обрабатывать потенциально опасные аватары", то движок пережмет эту gif-ку и вредоносный код в конце исчезнет?

[Slavegirl]

Прошу прощения, перепутала в предыдущем ответе "Обрабатывать потенциально опасные аватары" с "Выполнять экстенсивную проверку загружаемых аватаров".

При включении последней аватар пережался в статический, вредоносный код исчез, после этого движок его пропустил на сервер. Но эта опция выключена по-умолчанию и не рекомендуется форумом.

[kak2z]

Расскажите подробнее, как так делать? Это выходит всем угрожает?

я вот так настроил

а в своих скриптах я вообще по умолчанию копирую загруженное изображение, пережимаю в jpg и сохраняю в файл..

[Жека]

проблема стара как мир http://habrahabr.ru/post/100961/

Mavn, как опытный админ, подскажи, плиз:

1) почему на шаред хостинге при выставлении в php.ini cgi.fix_pathinfo=0
phpinfo() всё равно показывает 1 и Local Value, и Master Value

2) если не юзать встроенное в SMF ЧПУ, то не проще ли закрыть эту узявимость в .htaccess, указав
AcceptPathInfo Off

[Mavn]

некоторые параметры конечному пользователю запрещено менять поэтому ваши параметры в php.ini могут игнорироваться.

[Xvost]

Обновился с 2.0.2 до 2.0.3. Проблема в том, что обновлялся модом, ч/з Админку наличие обновления так и не было показано. Теперь в Админке:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 2.0.2
Кроме того, временами вылазит в логах ошибка, что не удалось получить какой-то там файл с сервера SMF.

В чём причина, где ошибка?

[karavan]

присоединяюсь к вопросу, точно та же ситуация.

[kak2z]

Глянул у себя.. Тоже присоединяюсь... только у меня все еще запущеннее

Информация о версиях:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 1.1.17

обновлялся через админку

[karavan]

Мда, серьёзный вопрос, нужно бы решить его...

[remingtone]

ну так зайдите и проверьте, в чем именно проблема: ?action=admin;area=maintain;sa=routine;activity=version

[kak2z]

ну так зайдите и проверьте, в чем именно проблема: ?action=admin;area=maintain;sa=routine;activity=version

да был я там... http://images.devs-on.net/Image/PXRKr1uODE8zb0cC-.png ничего там не сделаешь... только посмотреть можно

[remingtone]

где-то хвосты от единицы остались, ну или если она была когда-то очень давно - то это просто глюк или это уже 2.0.4 альфа какое-то

[kak2z]

где-то хвосты от единицы остались, ну или если она была когда-то очень давно - то это просто глюк или это уже 2.0.4 альфа какое-то

не было никогда единицы

[remingtone]

см пункт 2. гюки сервака СМФ

[Slavegirl]

В Админке появилась запись

Информация о версиях:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 2.0.4

Выпущена уже новая версия?

[kak2z]

У меня на одном форуме так

Информация о версиях:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 2.0.3

а на другом так

Информация о версиях:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 1.1.18

мне кажется у них что то глючит)

[Slavegirl]

Да нет, уже куча благодарных пользователей: http://www.simplemachines.org/community/index.php?topic=496403.0

Уже обновилась.

ChangeLog 2.0.4:

! Joshua's fix for validatePasswordFlood logic error (reported by Raz0r)
! Arantor fix for database error on lost connections
! Quick fix for Admin Password Reset vulnerability reported by Raz0r
! Directory traversal vulnerability in the function ViewFile (thanks yan.uniko.102 for reporting and Arantor for proposing the fix and Spuds for spotting the undefined variable)
! active users cannot change anymore the email from action activate without deactivation/confirmation (thanks BarteX for reporting the issueand suggesting a fix)
! Change language from the admin panel could allow XSS, path disclosure and code injection (thanks Jakub Galczyk for reporting the issue)
! Missing arguments in SSI functions called through ?ssi= generated error messages showing full server file path (thanks yan.uniko.102 for reporting it)
! Directory listing and editing of arbitrary files from the theme editing page in the admin panel

[kak2z]

ага... запустил получение данные с сервера СМФ - данные обновились и предложило обновить файлы - я и обновил) спасибо))

[karavan]

Зато у меня всё не как у людей, запрос файлов с SMF не помогает:

Информация о версиях:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 2.0.2

На счет 2.0.4 подожду официального объявления, и что там нового, если можно, по русски?

[Slavegirl]

Эта штука меня испугала: http://raz0r.name/vulnerabilities/simple-machines-forum/
Решила обновиться, не дожидаясь появления новости об обновлении здесь.

А чем Вам тема на главном форуме не официальна?
http://www.simplemachines.org/community/index.php?topic=496403.0

[karavan]

Slavegirl пожалуй вы правы, тоже обновился.