A vBulletin ezen új verzióját egy kisebb, az imei addmimistrator (http://myimei.com/security/) által felfedezett cross-site scripting flaw miatt jelentettük meg, ugyanakkor számos apróbb hibajavítás is történt, és új eszközöket is hozzáadtunk.

Új eszköz: Fejlesztett Fájl Diagnosztika

A vBulletin előző verzióiban található "gyanús fájlverzió" rendszer (AdminKP > Karbantartás > Diagnosztika > Gyanús fájlverziók) minden egyes fájlt ellenőrzött, hogy azok az adott verziónak megfelelő fájlok. Ezért például a 3.5.2 verzió forumdisplay.php fájlja be lett volna jelölve egy 3.5.3 verziót futtató fórumon.

Ez az új és javított eszköz kiterjeszti a verzió ellenőrzést az alábbi módokon:

Fájl verzió nem egyezik:
A rendszer továbbra is keres nem megegyező verziókat
Fájl nem található:
A rendszer megállapítja ha egy fájl hiányzik
Fájl nem felismert:
A rendszer bejelöli azokat a fájlokat, amelyek nem a vBulletin részei
Eltérő fájl tartalom:
Végezetül a legfontosabb változásként, MD5 sum lesz generálva minden egyes, a letöltött csomagban lévő fájlra. A rendszer összehasonlítja minden egyes fájl eredeti MD5 bejegyzését az éppen aktuális MD5 summal, így azonnal megállapítható ha egy fájl módosítva lett az eredetitől. Ezáltal nagyon egyszerűen láthatjuk hogy hackok lettek-e telepítve, vagy ha a fájlt nem jól töltöttük fel.Új eszköz: SkypeWeb Integráció

A SkypeWeb segítségével a Skype felhasználók online státuszát láthatjuk webes felületen, és szépen beilleszkedik a vBulletin rendszerébe.

vBulletin frissítése az XSS flaw elhárítására:

A vBulletin 3.5 összes verziója érintett, 3.5.0 Beta 1 - 3.5.3 , ezért azt tanácsoljuk felhasználóinknak, hogy a terméket frissítsék.
A frissítés háromféle módon megoldható:

Teljes frissítés: A lehető legbiztosabb módja a a frissítésnek a teljes frissítés. A 3.5.4 csomag letölthető az Ügyfél (http://members.vbulletin.com/) oldalról.
Patch: Másik lehetőségként egy patch fájl letölthető (ehhez a témához csatolva), amelyet a webszerveren kell futtatni, a meglévő fájlok felülírásának engedélyezésével.
Plugin: A vBulletin 3.5-ba beépített plugin rendszer segítségével egyszerűen futtatni lehet a plugint (ehhez a témához csatolva). A plugint FTP használata nélkül lehet futtatni, és a következő teljes frissítés alkalmával törlésre kerül.
A bug / hibajavítások teljes listája (3.5.4) megtalálható a vBulletin.com oldalán.

/
ajax.php
attachment.php
calendar.php
cron.php
editpost.php
external.php
forumdisplay.php
global.php
inlinemod.php
misc.php
newreply.php
newthread.php
payment_gateway.php
postings.php
profile.php
register.php
search.php
sendmessage.php
showthread.php
subscription.php
usercp.php
admincp/

accessmask.php
diagnostic.php
global.php
index.php
plugin.php
user.php
usertools.php
archive/

global.php
index.php
clientscript/

vbulletin_ajax_namesugg.js
vbulletin_textedit.js
includes/

adminfunctions.php
adminfunctions_language.php
adminfunctions_template.php
class_bbcode.php
class_bbcode_alt.php
class_core.php
class_dm.php
class_dm_moderator.php
class_dm_threadpost.php
class_dm_user.php
class_paid_subscription.php
class_postbit.php
functions.php
functions_cron.php
functions_databuild.php
functions_digest.php
functions_forumlist.php
functions_misc.php
functions_newpost.php
functions_online.php
functions_user.php
cron/
activate.php
promotion.php
reminder.php
paymentapi/

class_authorizenet.php
xml/

bitfield_vbulletin.xml

install/ - assume all files have changed
modcp/

global.php

Az alábbi fájl segítségével korrigálhatjuk az XSS problémát teljes frissítés nélkül.

A fájl letöltése és kicsomagolása után fel kell tölteni a szerverre FTP használatával, és a következő fájlokat kell felülírni a zip fájlból kicsomagolt fájlokkal:

sendmessage.php
includes/functions.phpFigyelem:

NEM kell letölteni ezt a patchet ha teljes frissítést csinál 3.5.4-re.
NEM kell letölteni ezt a patchet ha a plugin megoldást választja.

Az alábbi fájl segítségével korrigálhatjuk az XSS problémát teljes frissítés nélkül.


A plugint az Admin KezelőPult> Plugin Rendszer > Termékek rendszerezése > Termék hozzáadása / importálása úton adhatjuk hozzá a plugin rendszerümkhöz.Figyelem:
NEM kell letölteni ezt a fájlt ha teljes frissítést csinál 3.5.4-re.
NEM kell letölteni ezt a fájlt ha a patch megoldást választja.

A fórumunkat frissítettük 3.5.4-re.