phpBB 2.0.20 released

[CMA]

Im übetragenen sinn heißt es:
Folglich muss dieses phpBB gelöscht werden.. oder ist das falsch @viggen (hatte nie latein).
Zum Thema, grad mein kleines fussball-forum upgedated auf 2.0.20.

[Fridaynite]

LOL, etwa noch wer der meiner Sig zustimmt

Full Ack - oder fullerium accium, wie der Grieche so zu sagen pflegt

[muskelbody]

ja, ja, das ist schon klar.

das letzte update mit easymod hat bei mir trotzdem 20 minuten gedauert.

[mauri]

wie habt ihr das geloest mit der session.php?

Code: Alles auswählen

#
#-----[ FIND ]---------------------------------------------
# Line 175
		list($sec, $usec) = explode(' ', microtime());
		mt_srand((float) $sec + ((float) $usec * 100000));
		$session_id = md5(uniqid(mt_rand(), true));

#
#-----[ REPLACE WITH ]---------------------------------------------
#
		$session_id = md5(dss_rand());

meine sieht so aus:

Code: Alles auswählen

		list($sec, $usec) = explode(' ', microtime());

		mt_srand((float) $sec + ((float) $usec * 100000));

# 

# Note: d8ef2eab is one of the googlecrawlbots ips 

# 

//$session_id = md5(uniqid(mt_rand(), true)); 

gruss
mauri

[Hobby-SEO]

Hallo Mauri,

ich habe diese Änderung ganz genau so durchgeführt, wie in den Codechanges angegeben wird.

Bei mir sieht der Codeabschnitt daher folgendermaßen aus:

Code: Alles auswählen

   if ( !$db->sql_query($sql) || !$db->sql_affectedrows() )
   {
		$session_id = md5(dss_rand());

      $sql = "INSERT INTO " . SESSIONS_TABLE . "
         (session_id, session_user_id, session_start, session_time, session_ip, session_page, session_logged_in, session_admin)
         VALUES ('$session_id', $user_id, $current_time, $current_time, '$user_ip', $page_id, $login, $admin)";

Wenn Du eine wirkungsvolle Methode suchst, um die Session-IDs für Sumas auszublenden, siehe hier:

https://www.seo-phpbb.org/sessions.html

Die von Dir angeführte Codestelle ist davon aber nicht betroffen, sodass Du ruhig updaten kannst (nachdem Du die Änderung von Seo-phpbb.org in die session.php eingebaut hast).

Sollten sich dabei wider Erwarten Probleme ergeben, sollte phpBB.de Deine erste Anlaufstelle sein.

LG, Hobby-SEO

[meinkind]

also ich update mein phpbb-forum nur, wenn drin steht, dass es sich um das beheben einer wichtigen sicherheitslücke handelt.

ansonsten kann man sich das ganze echt sparn!

[Hobby-SEO]

Auch beim jetzigen Update sind Sicherheitsprobleme behoben worden:

[Sec] Replace strip_tags with htmlspecialchars in private message subject

[Sec] Some changes to HTML handling if enabled

[Sec] Escape any special characters in reverse dns - Anthrax101

[Sec] Typecast poll id values - Anthrax101

[Sec] Added configurable search flood control to reduce the effect of DoS style attacks

[Sec] Changed the way we create "random" values for use as keys - chinchilla/Anthrax101

[Sec] Enabled Visual Confirmation by default

Aber natürlich bleibt jedem selbst überlassen, ob man updatet oder nicht. Folgenden Artikel können sich die notorischen Update-Sünder schon mal zu Herzen nehmen:

Mein Forum wurde gecrackt - was nun?

LG, IPB_Flüchtling

[meinkind]

ja aber im gegensatz zu den letzten updates sind es keine sicherheitslücken, die das forum lahmlegen können. und wenn ich update, dann nur deswegen. dinge wie zb

Enabled Visual Confirmation by default

WILL ich ja gar nicht haben.