Выпущены важные обновления безопасности SMF 2.0.6 и 1.1.19

[digger®]

Проект Simple Machines Forum выпустил важные обновления безопасности для SMF 1.1.x и SMF 2.0.x. Текущими версиями становятся SMF 1.1.19 и SMF 2.0.6.

Несколько уязвимостей было исправлено в обоих релизах. Чтобы быть уверенным в безопасности своих форумов, рекомендуется немедленное обновление. Также, были исправлены некоторые ошибки в линейке SMF 2.0. 
В SMF 2.0.6 исправлена проблема с попаданием PHPSESSID в canonical url, поэтому больше не требуется использование модов типа "Anti-SID canonical tag".

SMF 2.0.5 можно обновить до 2.0.6 используя менеджер пакетов. Вы должны увидеть уведомление об обновлении в панели администратора и менеджере пакетов, что позволяет легко загрузить и установить обновление. Если у вас нет уведомления об обновлении, запустите запланированное задание "Получение файлов с сайта Simple Machines".
Вы, также, можете скачать обновление для 2.0.5 со страницы загрузок официального сайта - smf_patch_1.1.19_2.0.6.tar.gz, и установить его с помощью менеджера пакетов.

SMF 1.1.18 можно обновить до 1.1.19 скачав обновление со страницы загрузок официального сайта - smf_patch_1.1.19_2.0.6.tar.gz, а также с помощью менеджера пакетов.

Если вы используете старые версии SMF, вы можете обновиться с помощью полного пакета обновления со  страницы загрузок официального сайта http://download.simplemachines.org.
Список изменений можно найти на странице загрузок:
http://download.simplemachines.org

Оригинал: http://www.simplemachines.org/community/index.php?topic=512964.0

Changelog:

SMF 2.0.6                                                       October 22 2013
===============================================================================

October 2013
-------------------------------------------------------------------------------
! Added some headers to help protect against clickjacking (thanks Jakob Lell for the report)
! Invalid avatars were not always properly cleaned up (thanks chaoztc for the report)
! Added protection against usernames being impersonated with Unicode space characters (thanks Jakob Lell for the report)
! Sessions weren't always cleaned up properly on logout (thanks creepernex for the report)
! Certain fields were accepted during registration even when they shouldn't be (thanks tomreyn for the report)
! Certain errors were unnecessarily shown during a failed registration and some of those were inappropriate anyway (thanks Labradoodle-360 for the report)
! Approving an account from a member's profile was not logged (thanks emanuele for the report)
! Approving an account from a member's profile did not always properly enforce security rules (thanks emanuele for the report)
! The PHPSESSID injector would also add it to the canonical link, breaking it (thanks to all who reported it)
! An invalid character was indicated in legacy attachment handling
! Under some circumstances the admin panel would not accept the number of verification questions you had entered (thanks BurkeKnight for the report)
! The help pages could sometimes accidentally direct users to non-existing pages (thanks AngelinaBelle for the report and Illori for the fix)

[ALINA]

Спасибо .Обновилась с 2.0.5 на 2.0.6 без проблем .

[iaroslav]

Из менеджера обновить не получилось, написал

Несмотря на то, что пакет был загружен на сервер, он выглядит пустым. Пожалуйста, проверьте, доступны ли для записи директория Packages и поддиректория "temp". Если по-прежнему сталкиваетесь с этой проблемой, попробуйте распаковать содержимое пакета на своем компьютере и загрузить распакованные файлы в созданную поддиректорию в директории Packages и повторите попытку установки. Например, если пакет называется shout.tar.gz, нужно:
1) Загрузить пакет на свой компьютер и распаковать файлы.
2) С помощью клиента FTP создать новую директорию в директории "Packages", например "shout".
3) Загрузить все файлы, распакованные из пакета, в созданную директорию.
4) Вернуться в менеджер пакетов и обновить страницу. Новый пакет будет автоматически обнаружен SMF.

Пришлось скачивать обновление по ссылке выше и обновлять уже с его помощью. Обновилось всё успешно.

[karavan]

Обновился через мод, все нормально. Правда в админке написано
Версия форума: SMF 2.0.6
Последняя версия SMF: SMF 2.0.5
а на клоне форума на том же сервере видит последнюю версию правильно... в чем может быть причина?

[kak2z]

Обновился через мод, все нормально. Правда в админке написано
Версия форума: SMF 2.0.6
Последняя версия SMF: SMF 2.0.5
а на клоне форума на том же сервере видит последнюю версию правильно... в чем может быть причина?

в диспетчере задач запустите "Получение файлов с официального сайта SMF"
у меня тоже только что такое было..

[Жека]

Правда в админке написано

У меня после принудительного запуска задания "Получение файлов с официального сайта SMF" всё в норме.

Обновился 2.0.5 => 2.0.6
Одним глазом глянул, какие-то мелкие баги пофиксили, особенно с загрузкой аватаров там что-то сделали.

[Istoric]

Все ок по первому варианту ) Спасибо )

[karavan]

у меня тоже только что такое было..

Да, вроде само исправилось, спасибо.

У меня после принудительного запуска задания "Получение файлов с официального сайта SMF" всё в норме.

В тот момент не помагало. Возможно с другого провайдера зашло, но уже всё гуд.

[DJ-X]

У меня глюк после обновления с 1.1.18 до 1.1.19 когда сохраняю сообщение.
На IIS и Nginx + PHP-Fpm.

Глюк появляется если вставить в сообщение этот код.

Код Выделить Развернуть

[html]
<iframe width="640" height="360" src="//www.youtube.com/embed/fHGKG9dyTKI?feature=player_detailpage" frameborder="0" allowfullscreen></iframe>
[/html]

Если в index.php убираю  заголовки для  минимальной защиты от пакостей тогда всё ОК.

Код Выделить Развернуть

// Emit some headers for some modicum of protection against nasties.
if (!headers_sent())
{
// Future versions will make some of this configurable. This is primarily a 'safe' configuration for most cases for now.
header('X-Frame-Options: SAMEORIGIN');
header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');
}


Похоже что это проблема браузера Google Chrome, помогает это.
header('X-XSS-Protection: 0; mode=block');

[KVL]

 Когда появилось уведомление в админках форумов - обновился через админки форумов с сайта официалов без проблем: на 1.1.19 и на 2.0.6.

[Alex32]

Как можно узнать какая версия на данный момент стоит? В подвале стоит - SMF 2.0.6 | SMF © 2011, Simple Machines. Значит получилось обновиться до SMF 2.0.6 ?

[Жека]

Alex32
В админке ж отображается версия, сразу как заходишь в неё.

В подвале стоит - SMF 2.0.6 | SMF © 2011, Simple Machines. Значит получилось обновиться до SMF 2.0.6 ?

Да.

[hrustek]

Обновился. Полет нормальный 

[wwwserfer]

Обновился... SMF 1.1.18 ---> 1.1.19
После обновления у пользователей пропала возможность загружать аватары на сервер (про настройки и не справшивайте - все как надо, все верно. Аватары в моем случае грузятся в папку вложений.

Ошибки загрузки: (анимированный .gif)

по-русски:

Ваше вложение не может быть сохранено. Возможно файл больше, чем позволяет сервер.

Пожалуйста, проконсультируйтесь с Администратором для получения более подробной информации.

on english:

Your attachment couldn't be saved. This might happen because it took too long to upload or the file is bigger than the server will allow.

Please consult your server administrator for more information.

Начал грешить на обновление.. Так и есть..

Вообщем, по обновлению 1-ой ветки:

$sourcedir/Profile.php
предлагают заменить

Код Выделить Развернуть

// Now try to find an infection.
while (!feof($fp))
{
if (preg_match('~(iframe|\\<\\?php|\\<\\?[\s=]|\\<%[\s=]|html|eval|body|script\W)~', fgets($fp, 4096)) === 1)
{
if (file_exists($uploadDir . '/avatar_tmp_' . $memID))
[at]unlink($uploadDir . '/avatar_tmp_' . $memID);

fatal_lang_error('smf124');
}
}
fclose($fp);

на это

Код Выделить Развернуть

// Now try to find an infection.
$prev_chunk = '';
while (!feof($fp))
{
$cur_chunk = fread($fp, 8192);

// Paranoid check. Some like it that way.
if (preg_match('~(iframe|\\<\\?|\\<%|html|eval|body|script\W|[CF]WS[\x01-\x0C])~i', $prev_chunk . $cur_chunk) === 1)
{
fclose($fp);
if (file_exists($uploadDir . '/avatar_tmp_' . $memID))
[at]unlink($uploadDir . '/avatar_tmp_' . $memID);

fatal_lang_error('smf124');
}

$prev_chunk = $cur_chunk;
}
fclose($fp);

именно после этой замены (пока в моем случае) аватары пользователям загрузить не удается.. Я понимаю, что все это в целях безопасности, но... что-то перемудрили..

Что предпринять? Пока в раздумьях..

Добавлено:

Может быть это ("не так работает") как-то связано с версией PHP на сервере? У меня сейчас PHP 5.2.10

[Лора]

а что делать если я не обновляла свой форум еще до версии 2,0,5? Как поступить в таком случае? вначале обновиться до этой версии, а потом до следующей или сразу обновляться до 2.0.6? заранее благодарна за ответ.

[kak2z]

а что делать если я не обновляла свой форум еще до версии 2,0,5? Как поступить в таком случае? вначале обновиться до этой версии, а потом до следующей или сразу обновляться до 2.0.6? заранее благодарна за ответ.

все правильно)

[Лора]

Что правильно? первое или второе? Обновляться вначале до 5-й версии, а потом до 6-ой ?

[kak2z]

Что правильно? первое или второе? Обновляться вначале до 5-й версии, а потом до 6-ой ?

Обновляться вначале до 5-й версии, а потом до 6-ой

[Лора]

Спасибо))

[wwwserfer]

Свой вопрос снимаю..
Получил ответ на офиц. форуме, все стало ясно..

[karavan]

Сегодня появилось в админке:
Информация о версиях:
Версия форума: SMF 2.0.6
Последняя версия SMF: SMF 1.1.19

[digger®]

В SMF 2.0.6 исправлена проблема с попаданием PHPSESSID в canonical url, поэтому больше не требуется использование модов типа "Anti-SID canonical tag".

[Хран]

c 2.0.2 обновился пакетами до 2.0.6. Полет нормальный.

[lolandmars]

Привет, ребята! Вы не могли бы мне помочь настроить форум? У меня не получается изменить форму регистрации.

[kak2z]

Привет, ребята! Вы не могли бы мне помочь настроить форум? У меня не получается изменить форму регистрации.

а что с ней не так во первых.. а во вторых как это относится к критических обновлениям?

[lolandmars]

вОТ. нЕ ПОЛУЧАЕТСЯ НАСТРОИТЬ( Извините за офтоп

[Серый Лис]

Тоже обновился с 2.0.5 до 2.0.6 Все норм.
Огромное спасибо всем, всем!!!  Программистам и разработчикам и тем кто помогает дорабатывать оптимизации и моды.
А так же всем, всем форумчанам!!! которые растолковывают и помогают советами!

[Maniac]

Здравствуйте. Вчера обновился до версии SMF 1.1.19 через админку. Сейчас обнаружил, что при нажатии на айпи любого пользователя, выдаётся набор непонятных знаков и символов, так же как и при попытке просмотреть логи ошибок форума. Возможно, это не все баги. Пока что увидел только это.

аžбˆаИаБаКаА аБаАаЗб‹ аДаАаНаНб‹б...: Table './fkol_kold/smf_log_errors' is marked as crashed and should be repaired
аЄаАаЙаЛ: /home/fkol/public_html/Sources/Profile.php
аЁб,б€аОаКаА: 1970

Будьте добры, подскажите, как исправить этот баг?

[Mavn]

smf_log_errors- эта таблица повреждена нужно починить таблицу. Например при помощи phpmyadmin

[Maniac]

Если можно, не могли бы вы описать в деталях, как это сделать?

[Mavn]

Как восстановить поломанную таблицу SMF

[Maniac]

Благодарю вас, от всей души. Буду разбираться. И прошу извинить, за то что не нашел самостоятельно нужную тему.