JazOOn dnia 14 kwietnia 2007 00:00:00 · 4 komentarze · 5135 czytań · ·  ·  · 

Digitanium: Nie, to nie dowcip! Gdy myśleliśmy że Piątek 13-ego powinien minąć bez problemów, nowy exploit został zgłoszony przez CodeRS. Drobna skaza została wykryta w funkcji verify_image(), której używa się do sprawdzania, czy obrazy nie zawierają złośliwego kodu. Proszę nie panikować, gdyż łatka jest już dostępna do pobrania (v6.01.10). Zaleca się aby wszyscy użytkownicy wykonali natychmiast aktualizację. Pozostajemy w pełni zaangażowani w poprawianie bezpieczeństwa naszego CMS-a i będziemy naprawiać zgłaszane błędy tak szybko, jak to tylko możliwe.

Użytkownicy posiadający wersję v6.01.9 proszeni są o zaktualizowanie swoich plików za pomocą łatki.

Aktualizacja:

Digitanium: Wygląda na to, że część osób miała problem z wgraniem zdjęć po aktualizacji do v6.01.10. Pracowałem nad rozwiązaniem tego problemu i odkryłem, że użycie funkcji html_entity_decode() powoduje błąd, w wyniku którego obraz nie jest wgrywany.
W tym wydaniu zajęto się tym, i jeśli masz problemy, po prostu wgraj poniższą łatkę ponownie.

Obie paczki (łatka i wersja instalacyjna) dostepne są w download.

jantom dnia 05 kwietnia 2007 23:47:11 · Czytaj więcej · 5 komentarzy · 4851 czytań · ·  ·  · 

PMM: Zwróciło naszą uwagę, że ostatnio hakerzy skierowali swe działania na strony oparte o PHP-Fusion, które używają wielu infusionów, w tym tych podatnych na exploity.
Chodzi głównie o wtyczki Arcade (starglowone.com) i Top Lista (rll.dk).
Jeśli korzystacie z któregoś z wymienionych infusionów, zalecamy pobranie ich ostatnich wersji z podanych wcześniej adresów lub ich odinstalowanie, do czasu ukazania się aktualizacji.
Dodatkowo dobrym pomysłem byłaby zmiana wszystkich haseł.
Obecnie priorytetem jest zapewnienie bezpieczeństwa, jednakże nie jesteśmy w stanie przetestować każdego infusiona z osobna, szczególnie tych spoza sektora oficjalnego. Jak to jest możliwe, próbujemy zapewnić wysoką jakość zawartość Bazy wtyczek, ale jesteśmy tylko ludźmi. Infusiony, rozpowszechnione przez osoby trzecie, nie mają gwarancji naszego zespołu.
Twoja strona została zhakowana i potrzebujesz pomocy? Dobrze, nie panikuj. Po prostu zapytaj się na forum i spróbujemy Ci pomóc.

jantom dnia 25 marca 2007 19:10:00 · Czytaj więcej · 4 komentarze · 4737 czytań · ·  ·  · 

Digitanium: Jako, że przygotowujemy się do wejścia w pierwszą fazę alpha wersji 7, dzisiaj wypuszczam aktualizację dla wersji 6.01. Główny nacisk położyliśmy na zamknięciu kilku wydań. Szczegóły dotyczące tego, co zostało zaktualizowane są dostępne pod Czytaj więcej. Chociaż jesteśmy zajęci pracami nad wersją 7, zobowiązaliśmy się, że wersja 6 pozostanie dobrym standardem i w razie potrzeby będziemy wydawać kolejne aktualizacje.

Obecni użytkownicy v.6.01.8 mogą pobrać plik 6.01.9 Update for v6.01.8 i wgrać zawarte w nim pliki na serwer oraz nacisnąć Aktualizuj w Panelu Admina. Jeśli używasz wcześniejszej wersji z serii 6.01.x, najpierw potrzebujesz skorzystać z poprzednich aktualizacji. Pełna paczka na Sourceforge'u została zaktualizowana.

Na koniec: Błedy forum i wiadomości: BloodKiller. Reszta błedów została odkryta przez różnych użytkowników.
Dziękuję każdemu wspomagającemu poprawę jakości PHP-Fusion.

PHP-Fusion 6.01.9 Update TYLKO DLA v6.01.8 (24Kb).
PHP-Fusion 6.01.9 (2.04Mb).

Pieka dnia 04 marca 2007 20:40:00 · Czytaj więcej · 3 komentarze · 4548 czytań · ·  ·  · 

Digitanium: Część z Was mogła wczoraj zauważyć informację zawartą w shoutbox'ie, a dotyczącą odkrycia nowego exploita.
Jestem wdzięczny za tego typu informacje i zawsze zaraz zabieram się do łatania PHP-Fusion.
Tym razem zostały poprawione pliki forum, a konkretnie: postify.php oraz viewthread.php .
W razie konieczności poprawienia własnych plików lub chęci zdobycia informacji, co i jak zostało poprawione, odsyłam do CVS'a.
Specjalne podziękowania dla BloodKiller'a za informacje oraz pomoc :)

Użytkownicy posiadający wersję v6.01.6 oraz v6.01.7 proszeni są o zaktualizowanie swoich plików za pomocą łatki.
Przyszli użytkownicy mogą pobrać zaktualizowaną wersję instalacyjną, która dostępna jest na Sourceforge.
Obie paczki (łatka i wersja instalacyjna) dostepne są w naszym Download.

Pieka dnia 22 lutego 2007 20:00:00 · 1 komentarz · 3593 czytań · ·  ·  · 

Digitanium: W przeciągu ostatnich 48 godzin, zostaliśmy powiadomieni o możliwości wykonania ataku XSS.
W związku z tym zostały poprawione trzy pliki: profile.php, print.php oraz jeden z plików forum postify.php .
Jeśli potrzebujecie samodzielnie zmodyfikować w/w pliki, to proszę zajrzeć do CVS.
Przy okazji chcielibyśmy podziękować jednemu z naszych użytkowników o nicku K_ros, który wykrył oraz zgłosił ten błąd.

Użytkownicy posiadający wersję v6.01.6 proszeni są o zaktualizowanie swoich plików za pomocą łatki.
Przyszli użytkownicy mogą pobrać zaktualizowaną wersję instalacyjną, która dostępna jest na Sourceforge.
Obie paczki (łatka i wersja instalacyjna) dostepne są w naszym Download.