Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 13 reacties
Bron: phpBB, submitter: Tomsworld

phpBB is een gratis te gebruiken forum dat onder de GPL-licentie beschikbaar wordt gesteld. De forumsoftware is een van de meest gebruikte open-sourceforums en maakt gebruik van PHP en een databaseprogramma om berichten op te slaan, te bewaren en op te halen. Naast MySQL worden ook PostgreSQL, Microsoft SQL Server 2000 en Microsoft Access als databasesoftware ondersteund. Op de site van phpBB heeft Tomsworld een nieuwe versie van de forumsoftware gespot. De software is aangekomen bij versienummering 2.0.21 en kan vanaf deze pagina in verschillende uitvoeringen gedownload worden. De nieuwbakken release heeft de naam 'Bertie's Summer Vacation' meegekregen en lost een aantal bugs en beveiligingslekken op. Zoals gewoonlijk geven de ontwikkelaars aan dat forum- en/of serverbeheerders zo snel mogelijk upgraden naar de nieuwe versie. Het changelog van phpBB 2.0.21 ziet er als volgt uit:

Changes:
  • [Fix] Changes to random number generator code to explicitly truncate the length of the string
  • [Fix] Quoting on boards with HTML enabled
  • [Fix] Special characters on boards with HTML enabled
  • [Fix] Redirect to list if cancelling deletion of ranks, smilies or word censors
  • [Fix] Missing error message if an inactive user tried to login (Bug #1598)
  • [Fix] Do not alter post counts when just removing a poll (Bug #1602)
  • [Fix] Correct error in removal of old session keys
  • [Fix] Changed filtering of short search terms
  • [Sec] Improved filtering on language selection (also addresses a number of bug reports related to missing languages)
  • [Change] Backported more efficient highlighting code from Olympus
  • [Change] Backported zlib emulation code so that there is only a single confirmation image even if zlib is not available
Moderatie-faq Wijzig weergave

Reacties (13)

Tegenwoordig worden forums die ik beheer gehacked door waarschijnlijk een Turkse groepering. Zij zien een manier om de database te voorzien van META-elementen met een refresh tijd van 1 seconden naar hun site, en die is erg agressief (inclusief een schreeuwende Turk sprekende man).

De database repareren is dweilen met de kraan open. Want binnen enkele uren is het weer raak. Erg vervelend.

Laatste updates geinstalleerd (2.0.20) maar mag niet helpen. De oplossing die ik wel had kunnen vinden is door het forum in zijn geheel te verplaatsen naar een andere directory op de webserver. Gebruikers laat je via de oorspronkelijke plek doorverwijzen naar de nieuwe directory.

Hopelijk mag deze patch dit probleem oplossen.
Als tijdelijke oplossing zou je kunnen proberen de IP-adressen waarvandaan ze dat steeds doen te blokkeren.
Met een beetje mazzel, is dat ook nog een aaneengesloten IP-range.
Als ze dit vanachter een proxy doen wordt dit toch wel moeilijk lijkt me.
Hmm, dat klinkt als een vieze sql-injection bug. Kijk eens door je access_log of je een enorm lange request vindt met daarin UPDATE verwerkt. Grote kans dat dat de aanvraag is die je wilt blokkeren. Aan de aavraag is dus ook te zien in welk bestand het lek zit, en hoe die wordt uitgebuit. Als je die info kan posten op het phpBB of GoT forum, denk ik dat wij vandaag nog zelf een (al dan niet tijdelijke) fix kunnen bouwen ;)
Eventueel (maar ik weet niet in hoeverre dat mogelijk is met MySQL) kan je ook de schrijfrechten naar de template tabellen revoken. Dat moet in ieder geval voorlopig voldoende bescherming bieden.
volgens mij heb jij HTML enabled staan..

zet HTML onmiddelijk uit!
(ik heb ook van dit soort hufters op mijn site gehad die META-tags in HTML gingen posten)
Je kan ook mod_security gebruiken tegen sql injection.
Wij hebben de attach_mod geinstalleerd. Weet iemand of het mogelijk is om deze update te doen zonder die files te verliezen? Was best veel werk l :)
Ik gebruik zelf ook de attachment mod, je files blijven gewoon bewaard maar je moet de aangepaste php-files wel weer opnieuw installeren na het updaten van phpBB
ehm dan maak je je update weer ongedaan :?

je moet handmatig de code changes mod toepassen!
volgens mij plaatst phpbb op hun forum altijd de "code changes" dus ik zou daar even kijken :)

anders moet je ze maar even een mailtje sturen.
Nee, deze patch lost dat niet op, zie het commentaar dat afkomstig is van phpbb.nl of zie de complete change log hierboven.

Overigens, phpBB versie 3.0 (Olympus) laat nu wel heel erg lang op zich wachten.
olympus wordt hard aan gewerkt. de cvs die ik als test draai is al behoorlijk stabiel. Ik verwacht (en velen met mij) dat beta1 deze zomer uitkomt. Ze willen eerst zoveel mogelijk bugs uit de cvs te halen ( te zien via de bugtracker) en daarna pas een beta uit brengen.
voortgang is te bekijken op: area51.phpbb.com

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True