Warning: strpos(): needle is not a string or an integer in /membri2/drudo/blog-r/index.php on line 31

Warning: strpos(): needle is not a string or an integer in /membri2/drudo/blog-r/index.php on line 37
blog ¦ drudo (-rw-r--r--)
 
Bug: ultimi commenti (0.5.1.1)
Nella release 0.5.1.1 di Simple PHP Blog c'è un piccolo problema riguardo il plugin degli "ultimi commenti" che appaiono nella sidebar (barra laterale).
In poche parole vengono visualizzati solo gli ultimi commenti dell'amministratore del blog e non quelli degli utenti.

Per risolvere il problema Guti ci suggerisce questo fix:

sostituire la riga numero 101 presente in plugins/sidebar/RecentComments/plugin.php
if ( $moderation_flag != 'H') {
con questa
if (( !$GLOBALS[ 'blog_config' ][ 'blog_comments_moderation' ] ) || ( $moderation_flag != 'H' )) {


Bug cancellazione commenti in S.P.B. 0.5.1
Tutti gli utilizzatori della recente versione di Simple PHP Blog 0.5.1 avranno probabilmente notato un bug riguardo la cancellazione di commenti: in poche parole in presenza di più commenti, se uno di questi veniva cancellato, anche i restanti andavano via con lui...

La soluzione ce la propone direttamente l' autore dello script sui forum ufficiali.
Si tratta solo di sostituire il corpo della funzione function delete_comment() presente nel file /scripts/sb_comments.php con questo:
function delete_comment ( $filepath ) {
// Delete a comment. Also, delete the whole comment folder if it was the only comment.

sb_delete_file( CONFIG_DIR.'~blog_comment_listing.tmp' ); // Delete comment array cache

// Delete the comment file:
$ok = sb_delete_file( $filepath ); // content/07/10/entry071016-093727/comments/comment071016-095416.txt.gz

// Trim off filename and leave path to last directory.
$dirpath = $filepath;

$pos = strrpos( $dirpath, '/' );
if ($pos !== false) {
$dirpath = substr( $dirpath, 0, $pos ); // content/07/10/entry071016-093727/comments

// Get listing of all comment files in folder.
$file_array = sb_folder_listing( $dirpath . '/', array( '.txt', '.gz' ) );

if ( count( $file_array ) == 0 ) {
sb_delete_directory( $dirpath );

// Delete the entry071016-093727 which contains the view_counter.txt file also
$pos = strrpos( $dirpath, '/' );
if ($pos !== false) {
$dirpath = substr( $dirpath, 0, $pos ); // content/07/10/entry071016-093727

sb_delete_directory( $dirpath );
}
}
}

if ( $ok ) {
delete_most_recent( $filepath );
}

return ( $ok );
}

Se ne sta parlando anche quì:
http://spbitalia.altervista.org/forum/v ... php?id=849

Vulnerabilità Simple PHP Blog (tutte le release)
Il sempre attento NoWhereMan ci informa di una vulnerabilità che affligge tutte le versioni di SimplePHPBlog.

Non viene specificato molto da Bill che si limita a scrivere questo avviso:
I have been working with Luca Carettoni from SecureNetwork.IT the last few days about an exploit found in SimplePHPBlog that could allow a hacker full access to your blog. We are working on the issue full time but a lesser security firm called SecurityFocus found the need to disclose the vulnerability WITHOUT asking us about it first. This is a serious issue for our users.

Until we can get a release out to fix the problem, we are telling our users to delete upload_img*.* from their web servers. This will close the most dangerous of the holes. The other one has to do with the way themes get their color definitions from the configuration files and we are looking at that one now. MAKE SURE TO BACK UP YOUR BLOGS. If someone does get access, it will be just a matter of restoring your blog.

We expect to create a security release of some sort by the end of the weekend. Thanks in advance.


Traduzione a tratti libera:

Sto lavorando con Luca Carettoni di SecureNetwork. Pochi giorni fà è stato individuato un exploit in SimplePHPBlog che permette ad un hacker cracker di avere completo accesso al blog. Si sta lavorando a tempo pieno ma quei buon temponi di SecurityFocus hanno trovato la vulnerabilità senza prima avvisarci. Questo è serio (cit. del mitico Moss di "Los Angeles senza meta").

Prima del rilascio di una nuova release che fissi il problema, si consiglia di cancellare i file upload_img*.* dal proprio server. Questo chiuderà il bug più pericoloso. Altro problema si è riscontrato nei file di configurazione dei colori. FATE UN BACKUP DEL VOSTRO BLOG. Bla bla bal ovvietà...

Entro fine settimana dovrebbe essere pronta una fix release. Grazie.

A tal proposito un utente (tale normann) ci propone una possibile soluzione, dicendoci inoltre che la vulnerabilità è sfruttabile solo a chi è loggato nel blog:
http://forums.simplephpblog.com/viewtopic.php?p=4630

Riporto la soluzione in caso il forum ufficiale fosse in crisi mistica:

Sostituire questo codice in upload_img_cgi.php:
// New code for limiting the files that can be uploaded - provided by ReZEN (rezen@xorcrew.net)
$upload_denied_extentions = array( "exe", "pl", "php", "php3", "php4", "php5", "phps", "asp","cgi", "html", "htm", "dll", "bat", "cmd" );
$extension = strtolower(substr(strrchr($uploadfile, "."), 1));
foreach ($upload_denied_extentions AS $denied_extention) {
if($denied_extention == $extension) {
echo('That filetype is not allowed');
exit;
}
}

con
// New code for limiting the files that can be uploaded
$upload_valid_extentions = array( "jpg", "gif", "png" );
$extension = strtolower(substr(strrchr($uploadfile, "."), 1));
if (!in_array($extension, $upload_valid_extentions)) {
echo('That filetype is not allowed');
exit;
}

Potete discutere della cosa quì nei commenti o più comodamente su forum di SPBItalia:
http://spbitalia.altervista.org/forum/v ... php?id=825


Indietro Altre notizie