本站已升级至MyBB 1.4.6,这是一次安全更新。
我们建议每个人都立刻进行此次更新,可以选择下载补丁文件覆盖或者手动更新的方式。
这些漏洞影响到 MyBB 1.4.5 的安全。老版本的也有可能会受到影响。
非常感谢发现并提供这些漏洞的朋友们!
LP:language pack
FP:full pack
MyBB是一个基于PHP+MySQL搭建,功能强大,高效的开源论坛系统。
2009.5.11
MyBB 1.4.6 发布 - 安全更新
1.修复一个中等级别安全风险的漏洞
2.修复一个低级别安全风险的漏洞
下载地址:
完整安装包:
http://www.mybbchina.net/download/latest.zip
独立语言包:
http://www.mybbchina.net/download/latestlp.zip
完整安装包合作下载:
站长下载:
http://down.cnzz.cn/Info/44683.aspx
中国站长下载:
http://down.chinaz.com/soft/24453.htm
洪越源码下载:
http://www.softhy.net/soft/19622.htm
源码网下载:
http://www.codepub.com/software/view-software-2929.html
MyBB 1.4.5 to MyBB 1.4.6 补丁
这个补丁只适用于MyBB 1.4.5。如果你运行的是其他老版本的MyBB,请从MyBB中文站下载 MyBB 1.4.6 并更新。
请下载这个附件,解压,然后按照readme.txt的说明,将相关文件和文件夹覆盖你论坛根目录的相应文件和文件夹。
changed_files_1406.zip (大小: 24.24 KB / 下载: 7)
如果你想手动更新,可以按照如下说明进行操作,请注意,这些说明在上面的更新附件中也有:
代码:
+--------------------------------------------------------------------------------+
| MyBB 1.4.5 - 安全更新补丁文件 |
| (c) 2009 MyBB Group. |
| (c) 2009 MyBB中文站翻译. |
| |
| 这个补丁文件修复MyBB 1.4.5中一个中级和一个低级安全问题 |
| |
| 请根据下面的说明手动更新你的论坛。 |
+--------------------------------------------------------------------------------+
===============
1. admin/modules/user/users.php
===============
查找:
--
$user['view']['avatar'] = "<img src=\"{$user['avatar']}\" alt=\"\" width=\"{$scaled_avatar['width']}\" height=\"{$scaled_avatar['height']}\" />";
--
替换为:
--
$user['view']['avatar'] = "<img src=\"".htmlspecialchars_uni($user['avatar'])."\" alt=\"\" width=\"{$scaled_avatar['width']}\" height=\"{$scaled_avatar['height']}\" />";
--
同样查找:
--
$table->construct_cell("<div style=\"width: 126px; height: 126px;\" class=\"user_avatar\"><img src=\"{$user['avatar']}\" style=\"margin-top: {$avatar_top}px\" width=\"{$scaled_dimensions['width']}\" height=\"{$scaled_dimensions['height']}\" alt=\"\" /></div>", array('rowspan' => 6, 'width' => 1));
--
替换为:
--
$table->construct_cell("<div style=\"width: 126px; height: 126px;\" class=\"user_avatar\"><img src=\"".htmlspecialchars_uni($user['avatar'])."\" style=\"margin-top: {$avatar_top}px\" width=\"{$scaled_dimensions['width']}\" height=\"{$scaled_dimensions['height']}\" alt=\"\" /></div>", array('rowspan' => 6, 'width' => 1));
--
同样查找:
--
$table->construct_cell("<div style=\"width: 126px; height: 126px;\" class=\"user_avatar\"><img src=\"{$user['avatar']}\" width=\"{$scaled_dimensions['width']}\" style=\"margin-top: {$avatar_top}px\" height=\"{$scaled_dimensions['height']}\" alt=\"\" /></div>", array('width' => 1));
--
替换为:
--
$table->construct_cell("<div style=\"width: 126px; height: 126px;\" class=\"user_avatar\"><img src=\"".htmlspecialchars($user['avatar'])."\" width=\"{$scaled_dimensions['width']}\" style=\"margin-top: {$avatar_top}px\" height=\"{$scaled_dimensions['height']}\" alt=\"\" /></div>", array('width' => 1));
--
===============
2. attachment.php
===============
查找:
--
header("Content-type: {$attachment['filetype']}");
--
在之前添加:
--
if(strpos(strtolower($_SERVER['HTTP_USER_AGENT']), "msie 6.0") !== false)
{
header("Expires: -1");
}
--
===============
3. inc/class_core.php (改变版本号)
===============
查找:
--
/**
* The friendly version number of MyBB we're running.
*
* @var string
*/
var $version = "1.4.5";
/**
* The version code of MyBB we're running.
*
* @var integer
*/
var $version_code = 1405;
--
替换为:
--
/**
* The friendly version number of MyBB we're running.
*
* @var string
*/
var $version = "1.4.6";
/**
* The version code of MyBB we're running.
*
* @var integer
*/
var $version_code = 1406;
--
更新完毕
报告MyBB安全漏洞
如果你认为你发现了一个安全漏洞,请报告给我们,我们非常感谢您的帮助,这会使MyBB变得更加安全。
搜索
会员列表
日历
帮助
