Cообщество пользователей SMF

Simple Machines представляет релизы SMF 1.1.9 и 2.0 RC1-1 направленные на устранение нескольких уязвимостей найденных в SMF 1.1.8 и 2.0 RC1. Всем настоятельно рекомендуется выполнить обновление как можно скорее.

Следует понимать что SMF 2.0 RC1-1 не является вторым релиз кандидатом, а только обновлением безопасности для 2.0 RC1. Ожидаемая новая тема оформления Curve остается запланированной на 2.0 RC2, как и было заявлено ранее.

Для обновления используйте менеджер пакетов чтобы обновиться на 1.1.9 или 2.0 RC1-1, в зависимости от используемой вами версии. Просто откройте центр администрирования форума и вы увидите уведомление с предложением выполнить обновление. Нажмите на ссылку, подтвердите изменения и ваш форум будет обновлен. Пользователи, до сих пор использующие линейку SMF 1.0.x, могут обновиться на SMF 1.0.17 таким же образом.

Если вы не можете осуществить обновление посредством менеджера пакетов, следуйте инструкциям из онлайнового руководства по установке и обновлению. Если у вас есть проблемы с проверкой сессии при указании деталей подключения по FTP, прочитайте эту тему.

Может возникнуть необходимость в выполнении обновления вручную, если конфликты с установленными модами не дают осуществить его посредством менеджера пакетов. Вы можете найти инструкцию для всех версий форума на этой странице.

http://www.simplemachines.org/community/index.php?topic=311899.0

---

Для танкистов:
Да, это обновление устраняет уязвимость со злосчастным krisbarteo и его аватаром.

Где можно почитать произошедшие извинения в 1.1.9?

Проблема решена

ЦитироватьНе установлено никаких модов. Никогда не было проблем с апгрейдом версии 1.1.* Апгредийлся уже примерно 5 раз

Сейчас выскочила ошибка

Установочные действия
Производимые изменения пакетом "SMF 1.0.17 / 1.1.9 / 2.0 RC1 Update":
Установка этого пакета произведет следующие действия:
   Тип    Файл
***
13.     Изменение файла     ./Sources/Subs-Post.php     Неудачно
***

В чем может быть проблема?

Цитата: muzabbar от 21 мая 2009, 12:32:15
Не установлено никаких модов. Никогда не было проблем с апгрейдом версии 1.1.* Апгредийлся уже примерно 5 раз

Сейчас выскочила ошибка

Установочные действия
Производимые изменения пакетом "SMF 1.0.17 / 1.1.9 / 2.0 RC1 Update":
Установка этого пакета произведет следующие действия:
   Тип    Файл
***
13.     Изменение файла     ./Sources/Subs-Post.php     Неудачно
***

В чем может быть проблема?

Лезть в код и править ручками

А если просто перезалить существующий Subs-Post.php новым Subs-Post.php из полной инсталляшки 1.1.9 ?

Цитата: muzabbar от 21 мая 2009, 12:47:06
А если просто перезалить существующий Subs-Post.php новым Subs-Post.php из полной инсталляшки 1.1.9 ?

Если форум голый без модов и всяких дополнений то можно вообще все перезалить (1.1.9) кроме конфига.

Дискусси на офф. форуме SMF
_http://www.simplemachines.org/community/index.php?topic=307717.0
Если кратко: уязвимость существует изза возможности загрузок автар, выяснилось что человек под одним ником поскудничал на форумах, тоесть
что аватарка - обычно бинарный файл ... (изображение)
но при неправильной обработке, содержание аватарки может быть обработано интерпретатором....

Цитировать...среди пострадавших оказался и форум русского сообщества Ubuntu. Но в чем именно проблема и чего бояться непонятно, информации было крайне мало.

Сегодня появилась дополнительная информация. Данной уязвимости подвержены все версии форума, включая последнюю стабильную версию 1.1.8. Уязвимость существует в функции масштабирования аватаров, поэтому до выхода официального патча рекомендуется выполнить следующие действия:
Запретить загрузку аватаров как с внешних сайтов, так и с локального компьютера.
Отключить функцию масштабирования аватаров
Проверить не зарегистрирован ли на форуме пользователь с логином krisbarteo и если таковой присутствует, рекомендуется провести ревизию файлов форума.

Ревизию рекомендую сделать даже если такой пользователь не обнаружен. Скачиваете себе на локальный компьютер все файлы форума и проверяете на наличие в файлах вот такого кода: eval(base64_decode

В оригинальных файлах форума таких строчек быть не должно, если у вас они присутствуют необходимо заменить эти файлы оригинальными из дистрибутива SMF.
Решение проблемы

Необходимо в директорию, куда сохраняются аттачменты и аватары, поместить .htaccess файл следующего содержания:

Код Выделить Развернуть

<Files *>
    Order Deny,Allow
    Deny from all
    Allow from localhost
</Files>
php_flag engine Off

Особенно важна последняя строка, она отключит выполнение PHP в этой папке и все решится само-собой.
Источник: _http://joomlaportal.ru/content/view/1752/70/

п.с. просьба не удалять мой пост (во благо пользователей представлена инфа)

Цитата: muzabbar от 21 мая 2009, 12:47:06
А если просто перезалить существующий Subs-Post.php новым Subs-Post.php из полной инсталляшки 1.1.9 ?

Могут послетать моды.

Drakonsa, recived

Спасибо за совет посмотреть код. Начал сравнивать код и вспомнил, что я правил subs-post.php для того, чтобы можно было вставлять аттачменты с русскими названиями. Вернул как было раньше в оригинале. И снова попробовал проапгрейдится. Все получилось.

Сорри, мой косяк

А если обновляться в штатном режиме, то обновятся (перезапишутся) все файлы или только те, которые необходимо обновить?

kagorec

если что подобное решение было дано на нашем форуме тоже  только раньше чем появилось там
http://www.simplemachines.ru/index.php/topic,7036.msg45352.html#msg45352
http://www.simplemachines.ru/index.php/topic,7036.msg45545.html#msg45545

Росские всегда впереди. =)
Уважаемые админы форумов SMF ваши рекомендации по устранению уязвимости какие будут для тех у кого установленно туча модов?!

Блин, мож просто .htaccess  бросить, автоматом у меня форум уже давно не обновляется
"Пакет, который Вы пытаетесь установить, поврежден, либо не совместим с этой версией SMF. "
как и моды из админки... опять все моды в ручную забивать в стандартный код I(((

Цитата: kagorec от 21 мая 2009, 13:25:38
Росские всегда впереди. =)
Уважаемые админы форумов SMF ваши рекомендации по устранению уязвимости какие будут для тех у кого установленно туча модов?!

Почему просто не обновиться на последнюю версию?

Цитата: kagorec от 21 мая 2009, 13:05:52
Проверить не зарегистрирован ли на форуме пользователь с логином krisbarteo и если таковой присутствует, рекомендуется провести ревизию файлов форума.

Эта дыра актуальна для 1.1.9? Просто тоже был такой ник на форуме, щас полез все просматривать

Цитата: recived от 21 мая 2009, 13:42:34
Эта дыра актуальна для 1.1.9? Просто тоже был такой ник на форуме, щас полез все просматривать

Нет.

получается нужно лишь в /f/attachments/.htaccess добавить php_flag engine Off и все отпадет само собой?

Цитата: digger от 21 мая 2009, 10:09:25
Для обновления используйте менеджер пакетов чтобы обновиться на 1.1.9 или 2.0 RC1-1, в зависимости от используемой вами версии. Просто откройте центр администрирования форума и вы увидите уведомление с предложением выполнить обновление. Нажмите на ссылку, подтвердите измения и ваш форум будет обновлен. Пользователи, до сих пор использующие линейку SMF 1.0.x, могут обновиться на SMF 1.0.17 таким же образом.

Если вы не можете осуществить обновление посредством менеджера пакетов, следуйте инструкциям из онлайнового руководства по установке и обновлению. Если у вас есть проблемы с проверкой сессии при указании деталей подключения по FTP, прочитайте эту тему.

Может возникнуть необходимость в выполнении обновления вручную, если конфликты с установленными модами не дают осуществить его посредством менеджера пакетов. Вы можете найти инструкцию для всех версий форума на этой странице.

А со временем не станет возможным обновиться автоматически с SMF 1.1.8
на SMF 1.1.9? А то можно умереть от такого количества изменений вручную... 

Цитата: kas от 21 мая 2009, 13:52:15
получается нужно лишь в /f/attachments/.htaccess добавить php_flag engine Off и все отпадет само собой?

само собой ничего не бывает

Цитата: Обозреватель от 21 мая 2009, 14:21:46
А со временем не станет возможным обновиться автоматически с SMF 1.1.8
на SMF 1.1.9?

А сейчас что мешает обновиться автоматически?

"Пакет, который Вы пытаетесь установить, поврежден, либо не совместим с этой версией SMF. "

Установлена версия 1.1.8.
иду по ссылке  с админки,
package=http://custom.simplemachines.org/mods/downloads/smf_patch_1.0.17_1.1.9_2.0-RC1-1.zip
и так каждый раз, приходится качать руками. Почему автоматом не работает никто не подскажет  ?

Нда, а у меня пользователь krisbarteo есть, зарегистрирован 15 мая 2009г и последняя активность тогда же была, зарегистрирован на мыло krisbarteo@gmail.com . Но аттачментов новых не появилось. Я забанил пользователя и в папку attachments положил htaccess, обновлюсь позже.

можно просто имя krisbarteo добавить в список зарезервированных но ведь они не дураки. могут на еще кого-нибдуь зарегиться. вобщем, нужно обновляться - факт

Подскажите, а в папке avatars должны быть файлы blank.gif и Thumbs.db?

Цитата: fancar от 21 мая 2009, 14:31:37
"Пакет, который Вы пытаетесь установить, поврежден, либо не совместим с этой версией SMF. "
Установлена версия 1.1.8.
иду по ссылке  с админки,
package=http://custom.simplemachines.org/mods/downloads/smf_patch_1.0.17_1.1.9_2.0-RC1-1.zip
и так каждый раз, приходится качать руками. Почему автоматом не работает никто не подскажет  ?

У меня такая же трабла, пробую обновить ручками.

Ребят, предложило обновиться. Обновился. Но, "Информация о версиях: Версия форума: SMF 1.1.8 Последняя версия SMF: SMF 1.1.9" И просит обновляться. Когда хочу установить обновление опять - говорит "Этот пакет уже установлен на Вашем форуме!". В "Обзор пакетов, Пакеты модификаци" есть "SMF 1.0.17 / 1.1.9 / 2.0 RC1 Update".
Подскажите пожалуйста как быть?

Если у вас есть krisbarteo, то надо очень серьезно провериться на предмет взлома.
Искать во всех файлах *.php строку "base64", если найдете, то рекомендую удалить всё и залить 1.1.9 по новой (сохраните только базу, конфиг и аттачи).
Более того в базе данных надо удалить из таблицы smf_themes запись с id_theme 32 и из папки аттачей все картинки, в которых найдете строку "<?php".

У меня вот такой код присутствует в php скриптах.
root@inline forum]# find * -name '*.php' -exec grep "base64_decode" '{}' ';' -print
                $temp_params = explode('|"|', base64_decode(strtr($_REQUEST['params'], array(' ' => '+'))));
                $temp_params = explode('|"|', base64_decode(strtr($_REQUEST['params'], array(' ' => '+'))));
Sources/Search.php
                $where = base64_decode(strtr($_REQUEST['params'], array(' ' => '+')));
Sources/ManageMembers.php
                $search_params = base64_decode(strtr($_REQUEST['params'], array(' ' => '+')));
Sources/Modlog.php
                $temp_params = explode('|"|', base64_decode(strtr($_REQUEST['params'], array(' ' => '+'))));
                $temp_params = explode('|"|', base64_decode(strtr($_REQUEST['params'], array(' ' => '+'))));
Sources/PersonalMessage.php
                        fputs($socket, 'PASS ' . base64_decode($modSettings['smtp_password']) . "\r\n");
Sources/Subs-Post.php
                                'sql' => addslashes($_GET['filter'] == 'message' || $_GET['filter'] == 'url' ? base64_decode(strtr($_GET['value'], array(' ' => '+'))) : addcslashes($_GET['value'], '\\_%'))
Sources/ManageErrors.php

но "eval(base64_decode" в скриптах нет.

Цитата: fancar от 21 мая 2009, 15:41:38
У меня вот такой код присутствует в php скриптах.
но "eval(base64_decode" в скриптах нет.

Это, возможно, какой-то мод, так как в оригинальном коде, насколько я помню, base64_decode() не используется...

Обновился. Все ОК. Внизу страницы надпись: Powered by SMF 1.1.9 | SMF © 2006-2008, Simple Machines LLC
Вроде как должно быть: SMF © 2006-2009, Simple Machines LLC ?
В чем дело?

Цитата: GenZ от 21 мая 2009, 16:04:31
Обновился. Все ОК. Внизу страницы надпись: Powered by SMF 1.1.9 | SMF © 2006-2008, Simple Machines LLC
Вроде как должно быть: SMF © 2006-2009, Simple Machines LLC ?
В чем дело?

index.russian.php поправь

Fenix
Спасибо. Только, я извиняюсь, где его этот index.russian.php искать?
Что-то не найду

Цитата: GenZ от 21 мая 2009, 16:04:31
Обновился. Все ОК. Внизу страницы надпись: Powered by SMF 1.1.9 | SMF © 2006-2008, Simple Machines LLC
Вроде как должно быть: SMF © 2006-2009, Simple Machines LLC ?
В чем дело?

Кто-то правил руками строку копирайта и автозамена не сработала, например.
Искренне надеюсь, что это единственный недочет патча

Нашел

Цитата: mike_stalker от 21 мая 2009, 15:28:02
Ребят, предложило обновиться. Обновился. Но, "Информация о версиях: Версия форума: SMF 1.1.8 Последняя версия SMF: SMF 1.1.9" И просит обновляться. Когда хочу установить обновление опять - говорит "Этот пакет уже установлен на Вашем форуме!". В "Обзор пакетов, Пакеты модификаци" есть "SMF 1.0.17 / 1.1.9 / 2.0 RC1 Update".
Подскажите пожалуйста как быть?

Народ, ну подскажите, а...

Цитата: fancar от 21 мая 2009, 14:31:37
"Пакет, который Вы пытаетесь установить, поврежден, либо не совместим с этой версией SMF. "

Установлена версия 1.1.8.
иду по ссылке  с админки,
package=http://custom.simplemachines.org/mods/downloads/smf_patch_1.0.17_1.1.9_2.0-RC1-1.zip
и так каждый раз, приходится качать руками. Почему автоматом не работает никто не подскажет  ?

Как я уже писал выше, была такая же грабля. Пришлось править ручками.
Залил файлы как описано в мануале.
Запустил .../upgrade

Выдал такую ошибку:

The upgrader found some old or outdated language files.
Please make certain you uploaded the new versions of all the files included in the package, even the theme and language files for the default theme.
Click here to try again.

Просмотрев на всякий случай версии файлов в "Администрирование"-"Центр Администрирования"-"Подробнее" (в информациях о сервере") не увидел ничего не совпадающего по версиями. Сразу скажу что дополнительно я ничего не ставил. Только стандартный форум и стандартные темы. Установка языка на английский не помогло.

Вопрос решил правкой файла: upgrade.php
находим
define('SMF_VERSION', '1.1.9');
define('SMF_LANG_VERSION', '1.1.5');
заменяем
define('SMF_VERSION', '1.1.9');
define('SMF_LANG_VERSION', '1.1.9');

После этого ссылка .../upgrade запустилась нормально, но появилась другая ошибка:
Upgrading...
Updating and creating indexes... Unsuccessful!
This query:
ALTER TABLE forum_smileys
ORDER BY LENGTH(code) DESC;
Caused the error:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'LENGTH(code) DESC' at line 2

Которая лечится простым поиском. Навсякий случай пишу тут:
в файле: upgrade_1-1.sql
находим
ALTER TABLE {$db_prefix}smileys
ORDER BY LENGTH(code) DESC;
заменяем на
ALTER TABLE {$db_prefix}smileys
ORDER BY code DESC;

Сейчас вроде все нормально, форум продолжил работу.

При попытке обновиться выскакивает следующая ошибка:

Cannot find "http://www.garpun.de/forum/index.php?action=pgdownload;auto;package=http://custom.simplemachines.org/mods/downloads/smf_patch_1.0.17_1.1.9_2.0-RC1-1.zip;sesc=b31f9ab89efcbdcdae69cfa7a79fe6c2"

Что делать?

Цитата: GDI от 21 мая 2009, 14:54:14
Подскажите, а в папке avatars должны быть файлы blank.gif и Thumbs.db?

Могут там быть.

Thumbs.db - это наше все )))

Успешно обновился, но сейчас посмотрел лог ошибок и во время обновления он забился вот такого типа сообщениями:
2: fopen(/home/public_html/__forum/Sources/Subs.php) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied
ну и подобными, ошибок аж на несколько страниц

А у меня на форуме последний зарегистрировавшийся   krisbarteo...
Мда... Теперь весь форум перелопачивать. Хотя судя по всему бот был. 20 секунд на форуме пробыл и ушел...
Спасибо студентам После того как они стали себе на аватары пошлые картинки ставить, я загрузку запретил :-)

А можно просто поверх переписать файлы которые находятся в апдейте с 1.8 на 1.9?
Потому как в архиве патча нахотятся такие папки и файлы: attachments, Sources, Themes, index.php, changelog.txt
Я не нашел файла которым можно пропатчить.. (исполнительного)
По ФТП можно переписать или нет?

И у меня krisbarteo вчера был....
Пошел копать...

Обновил и появилась ошибка , что нужно сделать ?
Я всегда обновлял только файлы вручную , а базу данных я давно уже не трогал

Ошибка базы данных
Unknown column 'file_hash' in 'field list'
Файл: Z:\home\syte.ru\www\Sources\Display.php
Строка: 948

Примечание: Возможно Вашей базе данных требуется обновление. Версия файлов Вашего форума SMF 1.1.9, тогда как версия Вашей базы данных 1.1.2. Для устранения ошибки обновите, пожалуйста, форум.

У меня такая же фигня была. Почему-то не сработал файл обновления БД updateDatabase.php. Пришлось ручками вбивать MySQL запросы. Сделал через PHPMyAdmin.

Запросы такие:

ALTER IGNORE TABLE smf_attachments ADD COLUMN file_hash varchar(40) NOT NULL default ''

UPDATE smf_settings SET value = "1.1.9"   WHERE variable = "smfVersion" AND value = "1.1.2"

Обновлялся с 1.1.8 на 1.1.9. Версия БД была 1.1.2.

Цитата: peoplee от 21 мая 2009, 20:16:59
А можно просто поверх переписать файлы которые находятся в апдейте с 1.8 на 1.9?
Потому как в архиве патча нахотятся такие папки и файлы: attachments, Sources, Themes, index.php, changelog.txt
Я не нашел файла которым можно пропатчить.. (исполнительного)
По ФТП можно переписать или нет?

Архив патча нужно установить через админку. И тогда он станет исполнительным.

Это появляется только когда с аватарами что-то смотришь или делаешь .

Цитата: Zorkiy4 от 21 мая 2009, 22:49:19
У меня такая же фигня была. Почему-то не сработал файл обновления БД updateDatabase.php. Пришлось ручками вбивать MySQL запросы. Сделал через PHPMyAdmin.

Запросы такие:

ALTER IGNORE TABLE smf_attachments ADD COLUMN file_hash varchar(40) NOT NULL default ''

UPDATE smf_settings SET value = "1.1.9"   WHERE variable = "smfVersion" AND value = "1.1.2"

Обновлялся с 1.1.8 на 1.1.9. Версия БД была 1.1.2.

Спасибо большое !
Сам бы я низачто не догадался !
Теперь аватары работають и ошибок нет .

Ошибка базы данных
Unknown column 'file_hash' in 'field list'
Файл: Z:\home\syte.ru\www\Sources\Display.php
Строка: 948

Примечание: Возможно Вашей базе данных требуется обновление. Версия файлов Вашего форума SMF 1.1.9, тогда как версия Вашей базы данных 1.1.2. Для устранения ошибки обновите, пожалуйста, форум.

Кто-нибудь сталкивался с тем, что в менеджере пакетов нет ссылки на обнову? Кто-нибудь может выложить файл сделанный именно МОДОМ?

Цитата: Grek от 22 мая 2009, 00:11:47
Кто-нибудь сталкивался с тем, что в менеджере пакетов нет ссылки на обнову? Кто-нибудь может выложить файл сделанный именно МОДОМ?

http://www.simplemachines.org/community/index.php?topic=311899.0