Erro no Kernel do XOOPS, URGENTISSIMO, 2.0.5

  • Identifique-se para criar novos tópicos neste fórum
  • Visitantes anônimos não podem postar neste fórum
Gilberto Galdino de Oliveira  Membro De: Guarulhos - São Paulo - Brasil  Postagens: 171

Gostariamos da ajuda do pessoal que conhece programação e também seja fluente em inglês para reportar uma falha que acreditamos ter ocorrido na atualização do kernel 2.0.5 do xoops.

A maneira como isto será colocado lá pode ser feito como quiser, mas desde que seja possivel compreender o problema. Também acreditamos que estamos passando a solução, mas temos dúvidas. Como se trata de uma parte que compõe o kernel do XOOPS, todo cuidado é muito bom.

Estamos em desenvolvimento de um módulo para XOOPS que faz um gerenciamento de comunicados para os utilizadores e para isto estamos usando intensamente classes do xoops.
Tudo caminhava bem e estavamos conseguindo disparar as emissões de e-mail´s por grupo de utilizadores atraves de nosso módulo, mas a partir da atualização da versão 2.0.5, tudo mudou.
Se escolhermos um grupo para enviar mensagens, estas não serão encaminhadas, e não importa o que você possa ter incluido em outros filtros.

Para ter certeza, usamos a própria rotina do XOOPS em administração onde você pode criar uma mensagem com um texto e titulo e enviar com diversos filtros. Pois bem, também foi detectado o mesmo problema, não enviava.

Ai a casa caiu. Fazendo a mesma coisa na versão 2.0.3, ia que era uma maravilha. Dai só restou uma saida, compararmos o que tinha mudado no kernel que pode afetar isto em relação a versão 2.0.5.

Chegamos ao arquivo class/criteria.php onde uma coisa estranha estava registrada lá.

if ( is_numeric($this->value) ) { // || strtoupper($this->operator) == 'IN')?


Quando o cara comentou aquele trecho a rotina inseria ' (aspas) onde não devia e aí fizemos a alteração e funcionou. Só que temos dúvidas porque como é um item de kernel e intensamente usado se isto não pode gerar outros efeitos colaterais e também na questão de segurança. Temos conhecimento de falhas na injeção do MySql e que algumas estavam relacionadas a inclusão da clausula ´IN´ e aí mora a nossa dúvida. A rotina agora está funcionando legal, e o resto parece estar normal depois da alteração.

Desta forma vamos ter o seguinte:

arquivo criteria.php dentro do diretório class.
Linha 342

if ( is_numeric($this->value) ) { // || strtoupper($this->operator) == 'IN')?


Sugestão, deveria ficar assim:

if ( is_numeric($this->value) || strtoupper($this->operator) == 'IN') {


O nosso agradecimento a Claudia que tem uma paciencia de Jó para pesquisar e rastreas todas as funções até chegar neste problema.

Quem for colocar a dúvida lá pode mudar o texto a vontade, diminuir, não tenho certeza. O importante é que entendam o que ocorreu e se isto dará alguma falha de segurança.

No Agruardo!

Salomão  Membro De: Brasília - DF - Brasil  Postagens: 503

"Our development team from br.xoops is developing a module estou manage memos between users, and estou accomplish that is deep using XOOPS classes. In v. 2.0.3 it used estou work, but now it doesn't for .5, and we've found a solution for our problem, but as it messes with XOOPS 'kernel', may affect other functions.

File "criteria.php" under /class.
Line 342:
If ( is_numeric($this->value) ) { // || strtoupper($this->operator) == 'IN')?

(used this way the routine inserted the character ' where it mustn't, we've changed estou the alternative below and worked)

Should be that way estou work for our module:
If ( is_numeric($this->value) || strtoupper($this->operator) == 'IN') {

We know about the mysql 'IN' injection flaws, and we'd like estou know if this would affect the XOOPS system.
Thanks in advance,

Br.xoops devel team"

Gilberto Galdino de Oliveira  Membro De: Guarulhos - São Paulo - Brasil  Postagens: 171

Very good.
Obrigado Salomão.

Gilberto Galdino de Oliveira  Membro De: Guarulhos - São Paulo - Brasil  Postagens: 171

Eu acho que o mvandam não entendeu o problema que postamos lá.

https://xoops.net.br/modules/newbb/viewtopic.php?topic_id=13913&post_id=55994&order=0&viewmode=flat&pid=55964&forum=21#forumpost55994

Por gentileza, quem puder ver se a minha resposta está compreensivel. Se não estiver, alguém me helpa, ehehe.

Gilberto Galdino de Oliveira  Membro De: Guarulhos - São Paulo - Brasil  Postagens: 171

Agora está começando a fazer sentido.

Como estamos operando a versão 2.0.5 que pegamos com o Mikha e me parece que era a versão CVS em andamento, acreditamos que pegamos algo no meio do caminho.

Provavelmente todos os utilizadores que baixaram a versão montada aqui do dia 17 devem conter este problema.

Sugiro firmemente que seja baixado a versão estavel do xoops.org e a partir dai colocarmos as traduções.

Mikha se não puder fazer isto eu faço, é só falar.

Mikhail Miguel  Membro De: Angra dos Reis, RJ, Brasil  Postagens: 2466

PUTZ! isso é urgente, vou preparar um novo pacote com os mesmos arquivos da última versão, para podermos acompanhar o XOOPS de forma correta! perdão!

Gilberto escreveu:
Agora está começando a fazer sentido.

Como estamos operando a versão 2.0.5 que pegamos com o Mikha e me parece que era a versão CVS em andamento, acreditamos que pegamos algo no meio do caminho.

Provavelmente todos os utilizadores que baixaram a versão montada aqui do dia 17 devem conter este problema.

Sugiro firmemente que seja baixado a versão estavel do xoops.org e a partir dai colocarmos as traduções.

Mikha se não puder fazer isto eu faço, é só falar.

Rodrigo Ribeiro Neto  Ocasional De: Amparo - SP - Brasil  Postagens: 33

Só por curiosidade.

Esse erro pode estar fazendo com que meu portal não envie e-mail?

Grato!

Gilberto Galdino de Oliveira  Membro De: Guarulhos - São Paulo - Brasil  Postagens: 171

DigãoSPBR escreveu:
Só por curiosidade.

Esse erro pode estar fazendo com que meu portal não envie e-mail?

Grato!

Se possuir o problema relatado, você tem apenas 100% de chance disto dar errado.

  Pesquisa avançada






Entrada

Codinome:


Senha:





Perdeu a senha?  |Cadastre-se!


Quem nos visita
Há 31 visitantes neste momento... (14 na seção Fóruns)

Associados: 0
Anônimos: 31

outros...

Banner XOOPS Cube