Выпущены обновления безопасности SMF 1.1.20 и SMF 2.0.9

Автор digger®, 03 октября 2014, 04:51:39

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

digger®

Несколько уязвимостей были найдены в обоих ветках и исправляются этими обновлениями.  Всем рекомендуется немедленно обновить свои форумы, чтобы быть уверенными в их безопасности. Для SMF 2.0.x это обновление включает в себя исправление нескольких других ошибок.

SMF 2.0.8 можно обновить до 2.0.9 используя менеджер пакетов. Вы должны увидеть уведомление об обновлении в панели администратора и менеджере пакетов, что позволяет легко загрузить и установить обновление. Если у вас нет уведомления об обновлении, запустите запланированное задание "Получение файлов с сайта Simple Machines" в диспетчере задач. Вы, также, можете вручную скачать обновление для 2.0.8 со страницы загрузок официального сайта - smf_patch_1.1.20_2.0.9.zip, и установить его с помощью менеджера пакетов.

SMF 1.1.19 можно обновить до 1.1.20 скачав обновление со страницы загрузок официального сайта - smf_patch_1.1.20_2.0.9.zip, а также с помощью менеджера пакетов. Если вы все еще используете ветку 1.1.x,  следует знать, что это последнее обновление выпущенное для нее, так что настоятельно рекомендуется обновиться до SMF 2.0.9 для того, чтобы и дальше получать обновления безопасности и важные исправления. Поддержка для SMF 1.1 будет предоставляться до выхода релиза SMF 2.1.

Если вы используете старые версии SMF, вы можете обновиться с помощью полного пакета обновления со страницы загрузок официального сайта. Помните, что использование этого метода обновления потребует переустановки всех установленных на форуме модов.

Список изменений можно найти на странице загрузок.

Если у вас возникли проблемы с загрузкой обновления из панели администратора, вы можете загрузить пакет со страницы пакетов обновлений и установить его как обычный мод.

Если ваш форум не выводит уведомление, что 2.0.9 является текущей версией, вы можете зайти в
Админка > Обслуживание > Диспетчер задач
и запустить задачу "Получение файлов с сайта Simple Machines" (или подождать ее ближайшего автоматического запуска)

Более подробную информацию можно получить в Справочных руководствах:
* Полное обновление   
* Пакетное обновление

Список изменений: 
Цитировать
SMF 2.0.9
September 2014
-------------------------------------------------------------------------------
! SMF tries to stick ORDER BY NULL onto INSERT IGNORE queries containing sub-selects with a GROUP BY statement, causing a database error (Reported by guest)
! "Show Results" button always shown for polls as long as you can vote in them (Reported by Chainy)
! Multi-select boxes for settings were broken when no value had been selected (Reported by Suki)
! Some mail providers screw up the activation link (Reported by NanoSector)
! PHP 5.4 changes default charset to UTF-8, which can cause problems with search results and PM notification emails (Reported by fun4us)
! Make sure opcode cache gets cleared when regular cache does
! Log pruning should only delete closed mod reports, not open ones
! Fix layout issue with manage permissions page (Reported by Antes)
! Adjust image check to not fail on "cellTextIsHtml", unless paranoid... (Reported by Arantor)
! Sanitize all package XML to prevent any XSS attacks (Reported by Arantor)
! Add session check when previewing posts to prevent XSS via [html] from forged forms (Reported by emanuele)
! Sanitize maintenance mode title to prevent XSS attacks if HTML is used in it (Reported by guest)
Оригинал: http://www.simplemachines.org/community/index.php?topic=528448.0

S.T.A.L.K.E.R.

Обновился как обычно,через админку и без ошибок.Спасибо,так держать. O0

motosimak


izrukvruki


Opportunist

Патч не меняет номер версии в Subs-Post.php, и функция в этом файле после накатывания патча чуток отличается от той, что лежит в полном архиве 2.0.9 на сайте

у меня получилось после патча:
$htmlfunc = create_function('$m', 'return \'\' . strtr(un_htmlspecialchars("$m[1]"), array("\n" => \' \', \'  \' => \' \', \'[\' => \'[\', \']\' => \']\')) . \'\';');

в оригинальном архиве:
$htmlfunc = create_function('$m', 'return \'\' . strtr(un_htmlspecialchars("$m[1]"), array("\n" => \' \', \' \' => \' \', \'[\' => \'[\', \']\' => \']\')) . \'\';');

(отличаются количеством пробелов)

izrukvruki

а нету файла, который можно прямо в SMF через менеджер пакетов загрузить, и он обновит систему...

Участник форума

#6
У меня версия 2.0.8. Новое обновление: 2.0.9 устанавливается с ошибками. Нужно какие-то действия сделать. Пока не знаю, что делать.


izrukvruki

а где брать 2.0.6->2.0.7->2.0.8->2.0.9 не подскажите?

digger®

Цитата: izrukvruki от 03 октября 2014, 16:29:41
а где брать 2.0.6->2.0.7->2.0.8->2.0.9 не подскажите?
Цитата: digger® от 03 октября 2014, 04:51:39SMF 2.0.8 можно обновить до 2.0.9 используя менеджер пакетов. Вы должны увидеть уведомление об обновлении в панели администратора и менеджере пакетов, что позволяет легко загрузить и установить обновление. Если у вас нет уведомления об обновлении, запустите запланированное задание "Получение файлов с сайта Simple Machines" в диспетчере задач. Вы, также, можете вручную скачать обновление для 2.0.8 со страницы загрузок официального сайта - smf_patch_1.1.20_2.0.9.zip, и установить его с помощью менеджера пакетов.
Там же берутся и все предыдущие обновления.

Участник форума

digger®, скажите, пожалуйста, 2.0.9 может не устанавливаться из-за модов:

  • Optimus Brave;
  • Quick Spoiler?

digger®

Цитата: Участник форума от 03 октября 2014, 17:00:02
digger®, скажите, пожалуйста, 2.0.9 может не устанавливаться из-за модов:

  • Optimus Brave;
  • Quick Spoiler?
Вам же при установке показывает, из-за каких именно мест в коде ошибка.

Участник форума

digger®, я только пользователь и очень редко делаю настройки форума, поэтому я не понимаю, что мне нужно сделать. Да, мне показывают, в каких файлах проблемы, но я не знаю, что делать с этим.

digger®

Цитата: Участник форума от 03 октября 2014, 18:27:47
Да, мне показывают, в каких файлах проблемы, но я не знаю, что делать с этим.
Показать нам.
Рядом с именем файла можно нажать иконку и там будет конкретный кусок кода с которым проблема.

Участник форума

digger®, у меня ошибки почти во всех файлах.
Например, в файле "index.php":
$forum_version = 'SMF 2.0.8';
$forum_version = 'SMF 2.0.9';

bulatus

Я при установке получил ошибку....
В файле Display.php нужно найти
$context['show_view_results_button'] = $context['allow_vote'] && (!$context['allow_poll_view'] || !$context['poll']['show_results'] || !$context['poll']['has_voted']);
и заменить на
$context['show_view_results_button'] = $context['allow_vote'] && $context['allow_poll_view'] && !$context['poll']['show_results'];

проблема в том, что строчки которую нужно найти нет.

digger®

Цитата: Участник форума от 03 октября 2014, 18:44:04
digger®, у меня ошибки почти во всех файлах.
Например, в файле "index.php":
$forum_version = 'SMF 2.0.8';
$forum_version = 'SMF 2.0.9';
У вас текущая версия форума точно 2.0.8?

Цитата: bulatus от 03 октября 2014, 19:33:43
Я при установке получил ошибку....
В файле Display.php нужно найти
$context['show_view_results_button'] = $context['allow_vote'] && (!$context['allow_poll_view'] || !$context['poll']['show_results'] || !$context['poll']['has_voted']);
и заменить на
$context['show_view_results_button'] = $context['allow_vote'] && $context['allow_poll_view'] && !$context['poll']['show_results'];

проблема в том, что строчки которую нужно найти нет.
Значит нужная строчка изменена каким-то модом. Поищите короче, например
$context['show_view_results_button'] = $context['allow_vote']
и посмотрите что с ней не так.

Участник форума


digger®

Цитата: Участник форума от 03 октября 2014, 19:44:49
digger®, да, у меня сейчас 2.0.8.
Ну, может, у вас прошлое обновление как-то криво установлено.
Посмотрите, какая у вас версия указана в $forum_version в файлах форума.

Участник форума

digger®, приведите, пожалуйста, пример файла, в котором может содержаться фраза "$forum_version", и в какой папке находится этот файл.

ins1der

Поставил обновление, вроде все прошло без ошибок, правда есть одно НО.
Некоторые сообщения не пропадают, висят в "непрочитанных", точнее в "Новые ответы на ваши сообщения.".  И не помогает кнопочка  "Отметить все сообщения прочитанными". Может кто помочь советом?


Участник форума

digger®, в файле "index.php" есть такой фрагмент:
$forum_version = 'SMF 2.0.8';
[at]ini_set

Я специально захватил ещё текст после "'SMF 2.0.8';", чтобы показать что находится справа.
[at] - это символ "собака" (такой символ в почте используется). Этот форум переделывает символ "собака" на "[at]".

S.T.A.L.K.E.R.

Цитата: ins1der от 03 октября 2014, 20:22:23
Поставил обновление, вроде все прошло без ошибок, правда есть одно НО.
Некоторые сообщения не пропадают, висят в "непрочитанных", точнее в "Новые ответы на ваши сообщения.".  И не помогает кнопочка  "Отметить все сообщения прочитанными". Может кто помочь советом?
Попробуйте админка -обслуживание форума - найти и исправить любые ошибки.

Хотя,такое было и у меня,проверил только что.Кликнул два раза и исчезли сообщения.

Сергей Д.

Цитата: Участник форума от 03 октября 2014, 17:00:02
digger®, скажите, пожалуйста, 2.0.9 может не устанавливаться из-за модов:

  • Optimus Brave;
  • Quick Spoiler?
У меня тоже установлен Optimus Brave, ошибок при установке обновления SMF 2.0.9 не возникло.
Форум для тех, кому за 40 на Facebook: Форум za40.org.

S.T.A.L.K.E.R.

Цитата: Sergey40 от 03 октября 2014, 21:15:07У меня тоже установлен Optimus Brave,
У меня тоже он стоит.Я после установки портала прилично проредил свои моды,сейчас в них нет нужды.Но всё равно их около 30-ти осталось.Обновился без единой ошибки.
Спойлер правда стоит другой.

usesa

ЦитироватьSMF tries to stick ORDER BY NULL onto INSERT IGNORE queries containing sub-selects with a GROUP BY statement, causing a database error (Reported by guest)
Прошу прощения, у меня совсем плохо с английским... Я так и не понял эту строку. Понял что что-то вызывало ошибку базы данных. Что за ошибку и что вызывало?

bulatus

Цитата: digger® от 03 октября 2014, 19:41:32Значит нужная строчка изменена каким-то модом. Поищите короче, например
Код: [Выделить]

    $context['show_view_results_button'] = $context['allow_vote']

и посмотрите что с ней не так.

Спасибо digger®.



olives

Подскажите у меня версия 1.1.11, почта отправлялась через SMTP сервер Яндекса, но он недавно включил шифрование, через php тоже есть проблема отправки.
Если обновлюсь до 1.1.20 возможно будет включить шифрование? т.к. в моей версии это невозможно.

Dimon S.

обновился до 2.0.9 через админку без проблем.

Участник форума

Правильно я понимаю?
Установщик обновления ищет в файле "index.php" вот такую фразу:
$forum_version = 'SMF 2.0.8';

и хочет заменить на эту:
$forum_version = 'SMF 2.0.9';

Но установщик не находит фразу:
$forum_version = 'SMF 2.0.8';

т.к. есть такая фраза:
$forum_version = 'SMF 2.0.8';
[at]ini_set

в которой, после текста
'SMF 2.0.8'
одна точка с запятой, а установщик ищет две точки с запятой?

Т.е. у меня файл "index.php" имеет специфическую структуру? Эту структуру мог изменить какой-то мод?

Как мне исправить эту проблему?

Корреспондент

Участник форума, попробуй тогда такой вариант. Сначала через админку удали мод(ы), затем обнови форум до 2.0.9. Потом установи нужный мод снова.

P.s. И не забываем делать бэкап форума. Если что-то пойдет не так, то можно вернуть всё обратно.

Участник форума

Корреспондент, я удалял моды, затем пробовал обновить до 2.0.9, но проблема осталась.
Кстати, после удаления мода "Optimus Brave", данные о нём сохраняются где-то. Например, я сделал счётчик с помощью "Optimus Brave", затем удалил мод "Optimus Brave". Если думать логически, то счётчик тоже должен удалиться. Но когда я снова устанавливаю "Optimus Brave", то счётчик присутствует.

Поэтому, я так понимаю, не происходит полного удаления мода.

Mакс-23

Вот что при ручном обновлении...

Продолжать можно?
P.S. не стал ждать ответа, сделал Рез.копию форума... и обновил - пока полёт нормальный ;)

digger®

Цитата: Участник форума от 04 октября 2014, 17:19:22одна точка с запятой, а установщик ищет две точки с запятой?
Не ищет он никаких двух точек,
'
это код апострофа. Не знаю, откуда вы это копируете и почему у вас апострофы при этом кодированные, возможно проблемы в этом.

digger®

Цитата: olives от 04 октября 2014, 15:31:21Подскажите у меня версия 1.1.11, почта отправлялась через SMTP сервер Яндекса, но он недавно включил шифрование, через php тоже есть проблема отправки.Если обновлюсь до 1.1.20 возможно будет включить шифрование? т.к. в моей версии это невозможно.
Это не зависит от версии форума. Если у вас на хостинге php собран с поддержкой ssl, то вы можете указать в настройках форума
Сервер SMTP  ssl://smtp.yandex.ru
Порт SMTP 465







Участник форума

digger®, копирую отсюда:

  • Админка - Начало - Менеджер Пакетов;
  • мод 2.0.9 уже скачан и я щёлкаю "[Установка мода]";
  • происходят какие-то действия и открывается страница, в которой вверху написано на красном фоне "Ошибка в установке мода";
  • я смотрю ниже. Там есть пункт 1: Изменение файла ./index.php;
  • во второй строке, в столбце "Описание" написано "Неудачно";
  • я щёлкаю по значку, который находится в начале строки;
  • открывается страница, в которой:
    $forum_version = 'SMF 2.0.8';
    $forum_version = 'SMF 2.0.9';


Участник форума



Участник форума

#40
Пункт 1
digger®, у меня только два мода:
1. Optimus Brave
2. Quick Spoiler

Пункт 2
Вы писали: или на веб-сервере что-то включено для перекодирования.
Веб-сервер - это компьютер, на котором находятся файлы? Это хозяин хостинга мог сделать такие настройки?

Пункт 3
Я обратил внимание, что неудача в тех файлах, в которых нужно искать одинарную кавычку: '.

Участник форума

#41
Пункт 1
digger®, а вообще, в чём смысл обновления?
Я скачиваю файл-обновление. В этом файле написано, в каком файле что нужно найти и на что заменить? И это всё или ещё могут быть другие действия, например, создание файлов?

Пункт 2
Проблема в том, что в файле-обновлении всё нормально: одинарная кавычка выглядит, как одинарная кавычка.
Но этот файл-обновление открывает программа-обновление. И эта программа-обновление прежде, чем начать обновление, преобразует текст файла-обновления для каких-то целей по каким-то правилам. В результате одинарная кавычка заменяется на '.

Но почему тогда программа-обновление не преобразует сами файлы, в которых надо сделать обновление?

digger®

Цитата: Участник форума от 04 октября 2014, 19:37:07digger®, а вообще, в чём смысл обновления?Я скачиваю файл-обновление. В этом файле написано, в каком файле что нужно найти и на что заменить? И это всё или ещё могут быть другие действия, например, создание файлов?
Обычно, что найти и на что заменить. Иногда внести изменения в БД. Теоретически, может и создание файлов.

Серый Лис

Участнику форума
Вряд ли вы получите обстоятельный ответ. Диггер всегда даст совет, помощь, а в основном он занятый человек и это нужно понимать.
Я сам  такой же как и вы и подобные проблемы возникают про мной до сих пор.
Расписывать вашу проблематику не стану, советы давать еще не (дорос) единственное что могу вам посоветовать как новичку, быть администратором и грамотно управлять сайтом, форумом, этому нужно постоянно учиться и учиться.
Прежде всего потратьте время и изучите админку, познакомьтесь поближе со своим хостером и Панелью управлениия. Попытайтесь понять возможности и права которые вам предоставляет хостинг. Говорю вам поэтому так, что у самого были подобные проблемы. Прежде чем задавать вопрос и способ его решения, стоит максимально облегчить понимание вашей проблемы (приложите скрины и т.д. и т. п.)
В заключение обращу ваше внимание  на один немаловажный факт. У нас много людей очень опытных, знающих. Которые за прямо скажем так.. небольшое денежное вознаграждение помогут вам исправить (решить) вашу возникшую проблему, поверьте не стоит пренебрегать такой возможностью.   
И последнее.. больше времени уделяйте изучению FAQ форума.

digger®

Цитата: Участник форума от 04 октября 2014, 19:16:17Пункт 2Вы писали: или на веб-сервере что-то включено для перекодирования.Веб-сервер - это компьютер, на котором находятся файлы? Это хозяин хостинга мог сделать такие настройки?
Напишите в техподдержку хостинга, что у вас при обработке xml файлов апострофы заменяются на код, и
$forum_version = 'SMF 2.0.8';
превращается
$forum_version = 'SMF 2.0.8';
Может они прояснят что-нибудь.

Участник форума

digger®, сейчас спросил в техподдержке. Сказали, что такая проблема связана с CMS форума.

digger®

Цитата: Участник форума от 04 октября 2014, 21:00:16
digger®, сейчас спросил в техподдержке. Сказали, что такая проблема связана с CMS форума.
Никто и не сомневался в таком ответе.
В таком случае, вы единственный обладатель такой проблемы.


Скачайте архив Large upgrade отсюда http://download.simplemachines.org/.
Деинсталлируйте установленные моды.
Распакуйте архив и залейте по фтп поверх файлов своего форума с заменой.
Переустановите моды.

S.T.A.L.K.E.R.

Цитата: Участник форума от 04 октября 2014, 21:00:16
Сказали, что такая проблема связана с CMS форума.
Отличный хостер.Я бы бежал с такого...Не задумываясь.
Мало того что там апострофы заменяются,там ещё дополнительные ; проставляются.

Участник форума

digger®, сделал по Вашему совету, но по-другому.
Я посмотрел, какие файлы должны обновиться, и эти файлы скопировал на хостинг, а не все, как Вы предложили.

digger®

Цитата: Участник форума от 04 октября 2014, 22:15:02
digger®, сделал по Вашему совету, но по-другому.
Я посмотрел, какие файлы должны обновиться, и эти файлы скопировал на хостинг, а не все, как Вы предложили.
Если бы вы все файлы переписали, то гарантированно избавились бы от хвостов модов и возможных последствий неудачных предыдущих обновлений.