Post Revolution 0.7.0 Release Candidate 3

Escrito el día 25/04/2007 a las 00:37 por admin y fue visto 3962 veces
Seguimos con las correcciones.

Se agregan los bugfixes de InYexion.com.ar para dos vulnerabilidades prioritarias. El agregado, por si encuentran otro problemita, es:

if((isset($_REQUEST['dir']) || isset($_GET['dir']) || isset($_POST['dir'])) && !defined("dir")){ die("Fixed bug by InyeXion."); }

Créditos para la gente de InyeXion, esto evita que se infiltre una variable $dir cuando el servidor está configurado para registrar las variables globales.

Otro bug es en el manejo de sesiones, logout borra bien las variables de sesión para evitar problemas con el logueo.

También arregla un problemita para conectarse con mysqli.php (PHP5 + MySQL5) más o menos testeado.

Archivos modificados RC2 a RC3:

/seguro.php
/common.php
/db/mysqli.php
/themes/default/encabezado.php
/themes/default/preview_post_completo.php
/themes/default/preview_minipost_completo.php
   Ver más
   Tema: General

Bug y vulnerabilidad para arreglar

Escrito el día 24/04/2007 a las 23:58 por admin y fue visto 2911 veces
Gracias a la gente de Inyexion.com.ar me entero de un bug de posible inyección de código en varios módulos. Los mismos son arreglables con pocas líneas y forman parte del código de la RC3 del Post Revolution 0.7.0, espero tener listo el paquete, mientras pueden ver el bugfix aquí y en que archivos modificar código, es sencillo, simplemente agregar unas líneas.

Tengo que probarlo bien pero creo que no en todos los servers funciona el bug, en los que tienen el Register Globals en on (todavía muchos ISPs mantienen esa maldita configuración) permite que uno inyecte el valor de la variable $dir.
   Tema: BugFix