Патчи безопасности для IPB 2.0.x-2.1.x

Вчера российским отделением Invision были выпущены официальные патчи безопасности для IPB 2.0.x и 2.1.x, от 02.09.2005. Исправления предназначены для устранения возможной XSS инъекции.

1. Исправления парсинга
Изменения вносятся в файл ./sources/lib/post_parser.php
Найти:
if ( is_array( $ibforums->cache[‘bbcode’] ) and count( $ibforums->cache[‘bbcode’] ) )
{
Добавить после:
# XSS Clean
$t = preg_replace( «#javascript:#is», «java script:», $t );
$t = str_replace( «`» , «`» , $t );

2. Закачка файла на сервер
Данный файл необходимо закачать на сервер, с соблюдением иерархии директорий

3. Изменение MIME-типов
Необходимо изменить MIME-типы некоторых опасных файлов, которые разрешены на форуме для прикрепления. Для этого необходимо войти в Админцентр, воспользоваться группой настроек Прикрепляемые файлы -> Типы прикрепляемых файлов, отредактировать опции для файлов «.htm», «.html», «.txt», «.rtf», выставив в поле «MIME-тип файла» значение «unknown/unknown» (без кавычек).

Всем владельцам форумного движка IPB 2 настойчиво рекомендуется пропатчить свои форумы!