A vBulletin ezen új verzióját egy kisebb, az imei addmimistrator (http://myimei.com/security/) által felfedezett cross-site scripting flaw miatt jelentettük meg, ugyanakkor számos apróbb hibajavítás is történt, és egy új eszközt is hozzáadtunk.

Új eszköz: Fejlesztett Fájl Diagnosztika

A vBulletin előző verzióiban található "gyanús fájlverzió" rendszer (AdminKP > Karbantartás > Diagnosztika > Gyanús fájlverziók) minden egyes fájlt ellenőrzött, hogy azok az adott verziónak megfelelő fájlok. Ezért például a 3.0.11 verzió forumdisplay.php fájlja be lett volna jelölve egy 3.0.12 verziót futtató fórumon.

Ez az új és javított eszköz kiterjeszti a verzió ellenőrzést az alábbi módokon:

Fájl verzió nem egyezik:
A rendszer továbbra is keres nem megegyező verziókat
Fájl nem található:
A rendszer megállapítja ha egy fájl hiányzik
Fájl nem felismert:
A rendszer bejelöli azokat a fájlokat, amelyek nem a vBulletin részei
Eltérő fájl tartalom:
Végezetül a legfontosabb változásként, MD5 sum lesz generálva minden egyes, a letöltött csomagban lévő fájlra. A rendszer összehasonlítja minden egyes fájl eredeti MD5 bejegyzését az éppen aktuális MD5 summal, így azonnal megállapítható ha egy fájl módosítva lett az eredetitől. Ezáltal nagyon egyszerűen láthatjuk hogy hackok lettek-e telepítve, vagy ha a fájlt nem jól töltöttük fel.

vBulletin frissítése az XSS flaw elhárítására:

A vBulletin 3.0 összes verziója érintett, 3.0.0 Beta 3 - 3.0.12 , ezért azt tanácsoljuk felhasználóinknak, hogy a terméket frissítsék.
A frissítés kétféleképpen megoldható:

Teljes frissítés: A lehető legbiztosabb módja a a frissítésnek a teljes frissítés. A 3.0.13 csomag letölthető az Ügyfél (http://members.vbulletin.com/) oldalról.
Patch: Másik lehetőségként egy patch fájl letölthető (ehhez a témához csatolva), amelyet a webszerveren kell futtatni, a meglévő fájlok felülírásának engedélyezésével.A bug / hibajavítások teljes listája (3.0.13) megtalálható a vBulletin.com oldalán. .

/
search.php
sendmessage.php
admincp/
diagnostic.php
global.php
user.php
archive/
index.php
includes/
functions.php
install/ - assume all files have changed
modcp/
global.php

Az alábbi fájl segítségével korrigálhatjuk az XSS problémát teljes frissítés nélkül.

A fájl letöltése és kicsomagolása után fel kell tölteni a szerverre FTP használatával, és a következő fájlokat kell felülírni a zip fájlból kicsomagolt fájlokkal:

sendmessage.php
includes/functions.phpFigyelem:

NEM kell letölteni ezt a patchet ha teljes frissítést csinál 3.0.13-ra.