Владельцам 3.8.6: не поставили патч - потеряли форум!

Файловый Архив

  • Неограниченное количество категорий и суб-категорий
  • Настройки прав доступа по группам
  • Настройки прав доступа по каждой категории
  • Предпросмотр медиа файлов: FLV, IFLV, F4A, F4V, MP4, MP3, MOV и других...
  • Мультизагрузка файлов - SWFUploader
  • Добавление файлов с сервера
Подробности и история обновлений продукта в этой теме
Loading

Go Back   форум vBSupport.org > >
Register Изображения Меню vBsupport Files Manager Аллея Звёзд Реклама на форуме Search Today's Posts Mark Forums Read
  • Мемберка
  • Администраторам
  • Premoderation
  • For English speaking users
  • Изменения в правах
  • Каталог Фрилансеров
Пароли на скачивание файлов в Member Area меняются автоматически каждый день
Если вам нужно скачать какой то скрипт, за паролем ко мне в ЛС
привет какирам kerk
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Не можете скачать вложение?
Изменения в правах групп пользователей
внимательно читаем эту и эту темы
Короткая версия - тут
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

 
 
Первый пост
Old  
Dyuhaha
Эксперт
 
Dyuhaha's Avatar
Default 0

Quote:
Originally Posted by UniversalUserIS View Post
Очень даже есть, видать не так хорошо смотрели.
Я смотрел по ссылке из первого поста этой темы: http://www.vbulletin.com/forum/forum...s-for-vb-4-x-x
 
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
Old  
UniversalUserIS
Специалист
 
UniversalUserIS's Avatar
Default 0

Ну а я смотрел здесь, и аттачи стянуты оттуда же http://www.vbulletin.com/forum/forum...x-of-vbulletin в них и фигурирует данное исправление, которое для vB 3.x здесь упомянуто, а для vB 4.x нет.
 
Old  
Dyuhaha
Эксперт
 
Dyuhaha's Avatar
Default 0

Quote:
Originally Posted by UniversalUserIS View Post
в них и фигурирует данное исправление, которое для vB 3.x здесь упомянуто, а для vB 4.x нет.
И где? Всё равно не вижу:

VBIV-15935.zip (11 KB, 1 view)
 
Old  
UniversalUserIS
Специалист
 
UniversalUserIS's Avatar
Default 0

Смотрите строки 62-70. Ну или заюзайте поиск по тексту, если уж и тогда не увидите
 
Old  
Dyuhaha
Эксперт
 
Dyuhaha's Avatar
Default 0

Нет, не вижу!)
В файле includes/functions_misc.php есть, ну и у меня в переводе это присутствует...А про functions_misc.php ничего не вижу.
 
Old  
UniversalUserIS
Специалист
 
UniversalUserIS's Avatar
Default 1

Quote:
Originally Posted by Dyuhaha View Post
Нет, не вижу!)
В файле includes/functions_misc.php есть, ну и у меня в переводе это присутствует...А про functions_misc.php ничего не вижу.
Путаете вы меня, я речь про functions_misc.php и веду, тот что лежит в папке includes, и в своем переводе вы действительно его касаетесь в исправлении (выделено жирным зеленым), а вот исправления что выделено красным, у вас нет, поэтому и написал, что пропустили.
Code:
Index: includes/functions.php
===================================================================
--- includes/functions.php	(revision 79651)
+++ includes/functions.php	(revision 79652)
@@ -4057,7 +4057,13 @@
 		$postvars = construct_post_vars_html();
 		if ($vbulletin->GPC['postvars'])
 		{
-			$_postvars = @unserialize(verify_client_string($vbulletin->GPC['postvars']));
+			$_postvars = array();
+			$client_string = verify_client_string($vbulletin->GPC['postvars']); 
+			if ($client_string)
+			{
+				$_postvars = @json_decode($client_string, true);
+			}
+
 			if ($_postvars['securitytoken'] == 'guest')
 			{
 				unset($_postvars);
Index: includes/functions_login.php
===================================================================
--- includes/functions_login.php	(revision 79651)
+++ includes/functions_login.php	(revision 79652)
@@ -435,7 +435,13 @@
 			}
 			if ($vbulletin->GPC['postvars'])
 			{
-				$postvars = @unserialize(verify_client_string($vbulletin->GPC['postvars']));
+				$postvars = array();
+				$client_string = verify_client_string($vbulletin->GPC['postvars']); 
+				if ($client_string)
+				{
+					$postvars = @json_decode($client_string, true);
+				}
+		
 				$postvars['login_redirect'] = true;
 
 				if ($postvars['securitytoken'] == 'guest')
@@ -445,7 +451,7 @@
 					$postvars['securitytoken'] = $vbulletin->userinfo['securitytoken'];
 				}
 
-				$vbulletin->GPC['postvars'] = sign_client_string(serialize($postvars));
+				$vbulletin->GPC['postvars'] = sign_client_string(json_encode($postvars));
 			}
 
 			vB_Template_Runtime::addStyleVar('languagecode', $globalgroup['languagecode']);
Index: includes/functions_misc.php
===================================================================
--- includes/functions_misc.php	(revision 79651)
+++ includes/functions_misc.php	(revision 79652)
@@ -756,7 +756,8 @@
 	}
 	else if ($vbulletin->superglobal_size['_POST'] > 0)
 	{
-		return '<input type="hidden" name="postvars" value="' . htmlspecialchars_uni(sign_client_string(serialize($_POST))) . '" />' . "\n";
+		$string = json_encode($_POST);
+		return '<input type="hidden" name="postvars" value="' . htmlspecialchars_uni(sign_client_string($string)) . '" />' . "\n";
 	}
 	else
 	{
@@ -773,7 +774,7 @@
 */
 function construct_hidden_var_fields($serializedarr)
 {
-	$temp = unserialize($serializedarr);
+	$temp = json_decode($serializedarr, true);
 
 	if (!is_array($temp))
 	{
Index: forumdisplay.php
===================================================================
--- forumdisplay.php	(revision 79651)
+++ forumdisplay.php	(revision 79652)
@@ -180,7 +180,7 @@
 		{
 			if (($check = verify_client_string($vbulletin->GPC['postvars'])) !== false)
 			{
-				$temp = unserialize($check);
+				$temp = json_decode($check, true);
 				if ($temp['do'] == 'doenterpwd')
 				{
 					$vbulletin->GPC['postvars'] = '';
Index: login.php
===================================================================
--- login.php	(revision 79651)
+++ login.php	(revision 79652)
@@ -160,7 +160,12 @@
 
 	exec_unstrike_user($vbulletin->GPC['vb_login_username']);
 
-	$_postvars = @unserialize(verify_client_string($vbulletin->GPC['postvars']));
+	$_postvars = array();
+	$client_string = verify_client_string($vbulletin->GPC['postvars']); 
+	if ($client_string)
+	{
+		$_postvars = @json_decode($client_string, true);
+	}
 
 	// create new session
 	process_new_login(($_postvars['logintype'] ? $_postvars['logintype'] : $vbulletin->GPC['logintype']), $vbulletin->GPC['cookieuser'], $vbulletin->GPC['cssprefs']);
 
Old  
Dyuhaha
Эксперт
 
Dyuhaha's Avatar
Default 0

Quote:
Originally Posted by UniversalUserIS View Post
я речь про functions_misc.php и веду,
Ну, так это не одно и то же))
Тогда вообще непонятно, неужели никто на http://www.vbulletin.com до сих пор этого не заметил?
Нужно ждать Гуру, пусть они решают где правильно, в патче, или в ручной правке. Если что, заодно и в первом сообщении нужно ссылку убрать на неполный мануал.
 
Old  
UniversalUserIS
Специалист
 
UniversalUserIS's Avatar
Default 0

Quote:
Originally Posted by Dyuhaha View Post
Ну, так это не одно и то же))
Тогда вообще непонятно, неужели никто на http://www.vbulletin.com до сих пор этого не заметил?
Нужно ждать Гуру, пусть они решают где правильно, в патче, или в ручной правке. Если что, заодно и в первом сообщении нужно ссылку убрать на неполный мануал.
Нужно включать логику:
Файла с именем functions_misc.php в корне нет, и быть не может, да и вообще он один единственный, и лежит в папке includes это во-первых, во-вторых, раз говорю, что пропустили, значит правки этого файла уже касались (ваш перевод инструкции для vB 4.x), ну а в-третьих тут и Гуру быть не нужно, чтобы 100% утверждать, что правильнее всего будет в патче, нежели в ручной правке, поскольку одна и та же правка функции в одном и том же файле, актуальна и для vB3 и vB4, а ручная правка на то и ручная (человеческий фактор), что можно что-то забыть/пропустить, но никак не вписать лишнее. Ручная правка постилась человеком из службы поддержки, а патчи публиковались человеком из службы технической поддержки, кто-кто, а техник врядли может ошибаться в таких мелочах на самом деле
 
Old  
nop
Продвинутый
Default 0

Fatal error: Call to undefined function: json_decode() in /home/user/docs/forum/includes/functions_misc.php on line 707

Вот такую фигню в 3.8 выводит после ручного патча :/

PHP Version 4.4.9

nop добавил 19.03.2014 в 09:38
А, в php.ini следующая строчка была закомментирована:
extension=json.so

Исправил)
Ребят, а объясните всё-таки, чем грозил этот баг тем, у кого нет запароленных разделов?

Last edited by nop : 03-19-2014 at 11:38 AM. Reason: Добавлено сообщение
 
Old  
usrg
Эксперт
 
usrg's Avatar
Default 0

Quote:
Originally Posted by nop View Post
PHP Version 4.4.9
Патч применим только на php версии выше 5.2.0
 
 

Tags
безопасность, патч, уязвимости, уязвимость

Thread Tools

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off




All times are GMT +4. The time now is 04:05 AM.


Powered by vBulletin® Version 3.0.15
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.