[Info] [Новости] vBulletin

[Шейла]

Патч для vBulletin - 4.0.2 PL1

По материалам Для просмотра ссылки Войди или Зарегистрируйся

В 4.0.1 и 4.0.2 был обнаружен XSS эксплоит. Настоятельно рекомендуется пропатчить эти версии как можно скорее.

Если у вас установлена 4.0.2, то достаточно скачать последний патчик 4.0.2 PL1 из пользовательской зоны и заменить их на сервере. Запуск скрипта обновления не требуется. Патч содержит следующие файлы:

• includes/class_core.php
• includes/functions_forumdisplay.php
• includes/functions.php
• includes/version_vbulletin.php
• vb/legacy/thread.php

Если же у вас установлена 4.0.1, то нужно полностью обновить форум до 4.0.2 PL1.

 

[Шейла]

vBulletin 3.8.5

По материалам Для просмотра ссылки Войди или Зарегистрируйся

Обещанный 3.8.5 содержит 27 исправлений. Признаться, я ожидал список исправленных мелочей поболее.

• 28683: Upgrade to 3.8.4, but still deprecated messages
• 28698: Wrong Phrase in Advanced Mod while Posting a Visitor Message
• 28703: PHP Warning in Class Diff on Upgrade
• 28705: The links 'Prev' & 'Next' are missing when viewing an album picture
• 28708: Deprecated messages inside exported XML product files
• 28709: in custom BBCode [*]28713: Reputa...в надеяться не на что? [*]contactus [/LIST]

 

[Шейла]

Патч для vBulletin - 4.0.0 PL2 и 3.7.7

По материалам Для просмотра ссылки Войди или Зарегистрируйся

Команда разработчиков vBulletin обнаружила потенциальную угрозу, связанную с уровнем безопасности шифрования паролей. В связи с чем был выпущен очередной патч.

В некоторых, пусть и редких, случаях хакер мог получить доступ (не напрямую через vBulletin, а, например, через криво сделанный плагин) к базе данных и расшифровать пароль администратора и других пользователей.

Патч изменяет способ генерирования хэша паролей, чтобы предотвратить некоторые методы расшифровывания паролей. Имейте также ввиду, что новый хэш будет сгенерирован только после смены пароля. Поэтому настоятельно рекомендуется после установки патча изменить пароли всем администраторам. Также не помешает сменить пароли и остальным пользователям.

Чтобы защититься от вышеописанной уязвимости, необходимо сделать следующее:

• Если у вас установлен vB 3.7.x - обновитесь до 3.7.7.
• Если у вас установлен vB 3.8.x - обновитесь до 3.8.5.
• Если у вас установлен vB 4.0.0 или 4.0.1 - обновитесь до 4.0.2 PL2.
• Если у вас установлен vB 4.0.2 PL1, то процесс обновления немного будет таков:

1. Скачайте патч PL2 для 4.0.2.
2. Отключите форум.
3. Загрузите файлы патча к себе на FTP.
4. Запустите ссылку Для просмотра ссылки Войди или Зарегистрируйся.
5. Включите форум.

Примечание: если пользователь изменит пароль после того, как файлы патча будут залиты на FTP, но файл upgrade_402_salt.php не будет запущен, то пользователь не сможет авторизоваться. Ему нужно будет восстановить пароль повторно, после того, как вы запустите upgrade_402_salt.php. Выключение форума предотвратит эту вероятность в период обновления (хотя она и так мала).

Патч не защищает на 100% от подбора пароля. Для усложнения процедуры подбора необходимо соблюдать пару несложных правил:

1. Минимальная длина пароля - 6 символов. Но лучше конечно больше.
2. Используйте в пароле вперемешку строчные и прописные буквы, цифры, знаки препинания.
3. Избегайте часто употребляемых слов или слов, найденных в словарях, т.к. они используются в первую очередь при переборе.

Также рекомендуется администраторам, которые администрируют несколько сайтов, использовать для каждого свой пароль. Подобрав случайно пароль на одном, менее защищенном сайте, злоумышленник первым делом попробует этот же пароль на другом.

Патч 4.0.2 PL 2 также закрывает XSS уязвимость, найденную на странице поиска. vBulletin 3 этой уязвимости не имеет.