Egy idáig nem dokumentált, az összes Windows operációsrendszerben jelentkező Internet Explorer (XSS) biztonsági rés felfedezése miatt, úgy döntöttünk, hogy kiadunk egy biztonsági javítást, mielőtt a fent említett biztonsági rést bárki kihasználhatná.


vBulletin 3.6.3

A 3. 6. 3 változatban kb. 50, a 3.6.2 változatban felfedezett hibát javítottunk. A felsoroltak miatt minden kedves ügyfelünknek tanácsoljuk a mielőbbi teljes frissítést. Amennyiben önnek erre nincs lehetősége és Ön a vBulletin 3.6.2 változatát használja , kérjük, alkalmazza az alábbiakban említett hibajavító csomagot.

A vBulletin frissítése, az XSS biztonsági rés kivédése érdekében:

Kérjük vegyék figyelemben hogy ez a probléma a vBulletin egyéb változatai esetén is tapasztalható. Kérjük olvassa el az ön változatának megfelelő közleményt

Az XSSS probléma megszüntetésére két lehetőség van:
Teljes frissítés: A probléma elhárítására e legjobb megoldásként, egy teljes frissítést ajánlunk. Kérjük szíveskedjenek letölteni, az Ügyféloldalról a vBulletin 3.6.3 teljes változatát. Ezt követően hajtsanak végre egy szabályos frissítést.
Hibajavító csomag (Patch): Egy második lehetőség a hibajavító csomag letöltése. A letöltést követően töltse fel a saját szerverére és írja felül az ott lévő fájlokat.vBulletin 3.5.6

Minden tisztelt ügyfelünknek, akik még a vBulletin 3.5 változatot használnak! Kérjük, szíveskedjenek mielőbb 3.5.6 változatra frissíteni, vagy alkalmazzák az alábbiakban csatolt 3.5.5 –s biztonsági csomagot.

A 3.5.6 változat frissítése több programhiba javítást is tartalmaz, többek közt a PHP 5.2.0 változattal való kompatibilitás problémáját is. További újittás ebben a változatban, a „HttpOnly” sütik (cookiek), amelyek segítségével jelentősen csökkenthető az esetleges XSS hibák által okozott kár.

Szeretnénk felhívni, a tisztelt figyelmüket, hogy a jelenleg ajánlott változat a 3.6.3 és mindenkinek kifejezetten javasoljuk, hogy erre a változatra frissítsenek!


Teljes frissítés: A probléma elhárítására e legjobb megoldásként, egy teljes frissítést ajánlunk. Kérjük szíveskedjenek letölteni, az Ügyféloldalról a vBulletin 3.5.6 teljes változatát. Ezt követően hajtsanak végre egy szabályos frissítést.
Hibajavító csomag (Patch): Egy második lehetőség a hibajavító csomag letöltése. A letöltést követően töltse fel a saját szerverére és írja felül az ott lévő fájlokat.

Kérjük töltse le az itt található "Security patch for 3.6.2" illetve a 3.5.6 .zip tömörített állományt.
A letöltés után csomagolja ki. Egy FTP kliens segítségével csatlakozzon a (web)szerveréhez és írja felül a .zip csomagban lévővel, az ott található fájlok közül a következőt:
includes/class_image.phpMegjegyzések:
Amennyiben teljes frissítést haj végre úgy Önnek nem kell letölteni az alábbi csomagot.
Amennyiben Ön csak a hibajavító csomag használata mellett dönt az Ön vBulletin verziószáma nem fog változni. Ez csak abban az esetben változik 3.6.3 - 3.5.6 -ra ha Ön teljes frissítést hajt végre.

A 3.6.2 változathoz képest történt sablon módosítások listája itt olvasható (http://www.vbulletin.com/forum/showpost.php?p=1247458&postcount=3)

Ha ön még nem a 3.6.2 változatot használja lényegesen több sablonmódosítás történt mint az a fenti linket követve olvasható. Az össze módosított sablont megtalálhatja a "Frissített Sablon keresése" segítségével.

A vBulletin 3.5.5-s és a 3.5.6-s változatok között nem történt sablon módosítás.

A vBulletin 3.6.2 óta módosított fájlok listája.




/
announcement.php
external.php
forumdisplay.php
global.php
infraction.php
inlinemod.php
newattachment.php
newreply.php
postings.php
profile.php
report.php
showthread.php
subscription.php
usercp.php
usernote.php
admincp/
adminpermissions.php
attachment.php
diagnostic.php
index.php
options.php
template.php
user.php
usertools.php
clientscript/
vbulletin_ajax_imagereg.js
vbulletin_cpcolorpicker.js
vbulletin_global.js
vbulletin_menu.js
vbulletin_quick_reply.js
vbulletin_textedit.js
cpstyles/ - all cp_logo.gif files were updated to include registered mark
images/
buttons/
edit.gif
email.gif
find.gif
sendpm.gif
misc/ (for registered marks)
vbulletin2_logo.gif
vbulletin3_logo_grey.gif
vbulletin3_logo_white.gif
regimage/fonts/
HECK.TTF
SPONGY.ttf
WetPet.ttf
includes/
adminfunctions.php
adminfunctions_options.php
class_bbcode.php
class_bbcode_alt.php
class_core.php
class_database_explain.php
class_dm_infraction.php
class_dm_user.php
class_image.php
class_paid_subscription.php
class_postbit_alt.php
class_rss_poster.php
class_upload.php
functions.php
functions_forumdisplay.php
functions_newpost.php
functions_wysiwyg.php
init.php
cron/promotion.php
xml/
bitfield_vbulletin.xml
cpnav_vbulletin.xml
install/ - az összes módosítottnak tekintendő

A vBulletin 3.5.5 és 3.5.6 változatok között módosított fájlok listája.

/
attachment.php
printthread.php
profile.php
admincp/index.php
cpstyles/ - all cp_logo.gif files were updated to include registered mark
images/misc/ - again, for registered marks
vbulletin2_logo.gif
vbulletin3_logo_grey.gif
vbulletin3_logo_white.gif
includes/
class_bbcode.php
class_core.php
class_dbalter.php
class_image.php
class_upload.php
functions.php
functions_calendar.php
functions_login.php
init.php
install/ - assume all changed
modcp/
index.php
moderate.php

Sok változás van a vBulletin 3.6.3-ban az előző verziókhoz képest, vagy csak a hibák javítása a különbség benne?
Esetleg új opciókkal bővült?

Sok változás van a vBulletin 3.6.3-ban az előző verziókhoz képest, vagy csak a hibák javítása a különbség benne?
Esetleg új opciókkal bővült?

Az új verzió elsősorban egy biztonsági javítás, ami egy IE-ben található potenciális veszélyt küszöböl ki. Ezen felül a 3.6.2 óta felfedezett apróbb "bug"-ok javításait is tartalmazza.

Számottevő különbség nincs a 3.6 család verziói között opciók tekintetében (akkor 3.7 verzióval jelölnék), de értelemszerűen mindig a legújabb verzió a naprakész és legbiztonságosabb, hivatalosan támogatott csomag, jelen esetben a 3.6.3. :)

Értem, köszönöm szépen a válaszát!