phpBB 2.0.16 patch officieux.

Je ne sais pas si c'est applicable ici, mais il ya eu une faille critique de phpBB 2.0.16 pour la dernière semaine qui a eu un peu de personnes, et phpBB sont un peu lent en sortant un patch pour mettre à jour ou elle.

L'exploit est l'un des XSS (cross site scripting) de famille qui permet aux gens de voler les cookies (données de connexion) à partir de forums à travers mauvais filtrage des bbcode.

Ce patch a été testé sur mon propre forum et je n'ai pas vu d'effets secondaires négatifs d'elle. Mais surtout, elle nous a patché contre les exploiter.

Le patch est simple.
Ouvrir includes / bbcode.php dans Notepad.
cliquez sur modifier Sélectionnez remplacer .
puis remplacez tous

avec

(après avoir fait une sauvegarde du fichier original)

Ceci fonctionne bien comme une solution temporaire, mais je voudrais vous suggérons d'utiliser le patch officiel dès que sa liberté.
Alternativement, vous pouvez désactiver le BBCode jusqu'à ce qu'il y est un patch phpbb officielle.

Un mod peut-être envie de me pm si ils veulent plus d'infos.
Ou si le poste est inadapté i don't mind if ses supprimé.

L'exploit et le patch ont tous deux été testés par nos soins sur mon forum et la faille est très grave, et le patch semble fonctionner correctement comme une solution temporaire ..

Nous nous félicitons de la pointe. Avez-vous des liens pour valider ce? Je suppose que vous avez déclaré ceci à la sécurité tracker? http://www.phpbb.com/security/

ouais un de mes modérateurs signalé à phpbb lorsque nous avons entendu parler d'elle ..

Le seul lien que j'ai de vérifier qu'il a une preuve de concept de travail de code inclus si je n'avais pas posté ici.

Pour autant que je sache ce dosnt travail en francs, pour les utilisateurs de FF sont en sécurité, mais les forums ne sont pas.

Ill h vous le lien ATNO...

Merci. Je transmettrai à qui Bigwebmaster.

pas de problème.