Patch تعديل بسيط في ملف - vBulletin v-3.0.5 - private.php

[الوافي]

تنويه للجميع :

السلام عليكم ..

تم التعديل على ملف الــprivate.php وتمت اضافة سطر مهم
الرجاء ممن نزل اي نسخه ان يعدل على هذا الملف او يقوم بتبديل هذا الملف بالمرفق
ويوجد مشكله في ملف init.php وحلها في الاخير



[LEFT]An XSS issue has been discovered in 3.0.X in private.php; it affects all versions of vBulletin 3. While this issue is not nearly as serious as the issue that prompted the 3.0.5 release, we strongly recommend you patch your installation(s).

At the end of this post, you'll find a patched file and what to change if you wish to manually update your file.

As of this update, the download in the members' area has been patched. If you have downloaded 3.0.5 before this time, please redownload or use the provided private.php.

I just want to reiterate that it is not our intention to force you to have to update constantly. Once a security issue is reported--no matter the severity--we strive to release quick fixes; the same day the issue is discovered, regardless of whether it's a holiday or just any other day of the year, if possible. It just happened that there were several reports in the past week. We aim to have impeccable security, but sometimes things are missed by internal audits.

Thank you for understanding.


Do you have the patch already?
Technically, the members' area was patched before this post. If you don't want to use the provided private.php or see if you need to add the line provided below, search for:
CVS: $RCSfile: private.php,v $ - $Revision: 1.262.2.3 $
In your copy of private.php. If you find it, you have the patch already.

--------------------------------------------------------------------------------


Manual Patch Instructions

In private.php, find the following:

كود PHP:

construct_checkboxes($pm); 


ABOVE it, add the following:

كود PHP:

$pm['recipients'] = htmlspecialchars_uni($pm['recipients']); 


If you have 3.0.4 or 3.0.5 with a working referrer checker (see note below), the affects of this issue are severely lessened. We still recommend you use the patch for users which block referrers (some internet security software).
Note: the referrer checker was broken in 3.0.5 until 11:28 PM (EST) on Jan 8th. If you downloaded 3.0.5 before then, see this bug for a fix.


اي شخص نزل النسخه قبل التاريخ بعاليه عليه ان يرجع وينزلها مره اخرى
------------------------------------------------------------------------------------------


To fix, in includes/init.php find:

كود PHP:

$thishost = preg_quote($http_host . !empty($referrer_parts['port']) ? ":$referrer_parts[port]" : '', '#'); 


And replace with:

كود PHP:

$http_port = intval($referrer_parts['port']);
$refhost = $referrer_parts['host'] . (!empty($http_port) ? ":$http_port" : '');

if (!preg_match('#' . preg_quote($http_host, '#') . '$#siU', $refhost)) 


هذي هي مشكلة ال init.php
وحلها تم اصلاحه في هذه النسخه 3.0.5

Several minutes before this bug was submitted, the downloadable version of 3.0.5 was updated with this bug fix.

[الوافي]

http://www.vbulletin.com/forum/showthread.php?p=792983

للمزيد من الفائده

[riya]

كل نسخه يديده اظرب من الي قبلها

[العندليب]

شكراً أخي الوافي على التنبيه

ولكن لدي تعقيب بسيط .
ثغرات الـ XSS يستثمرها المخترق لأخذ الكوكيز المحفوظه بجهاز الأدمن حتى يقوم بحفظها في جهازه، بعدها يدخل المنتدى بالكوكيز الخاصه بالأدمن ولكن لن يستطيع تغيير كلمة المرور أو البريد الالكتروني وهذا فقط موجود في اصدارات الجيل الثالث ولكن ممكن يحذف أو يعدل مواضيع وهنا مكمن الخطوره .

ع العموم لتختبر وجود الثغره لديك قم بالدخول على الرسائل الخاصه ثم إضغط على ( رساله جديده ) ثم أكتب إسم المستقبل هذا الكووود :

كود PHP:

"><script>alert('You Must Update Private.php')</script><!-- 


واكتب عنوان الرساله : تجربة
ونص الرساله أيضاً : تجربة

واضغط على زر ( مشاهده قبل الارسال )

ولاحظ النتيجه

تحياتي لكم

[NLP]

انا سويت على الي قلت عليه يا العندليب وطلع لي مربع حوار فيه

'You Must Update Private.php'

شو اسوي الآن

[WsWs]

تم التعديل
مشكووووووووووور اخوي الوافي

[الوافي]

هلا بك استاذي العندليب ...


'You Must Update Private.php'

طلع لي نفس الاخ NLP

مربع حوار كتب فيه موافق

وضغطت ولا حصل شيء بعدها

تحياتي لك

[($)الإلكترون($)]

طيب هذا ماهو جديد وهم أعلنو عن هذا الملف يجب التحديث أو تغير الملف بلمف مرفق لديهم

وكتبت أنا موضوع عن هذا الملف وسبب الترقية الى 3.0.5 قبل موضوعك هذا وقت نزلت النسخة الجديدة مباشرة

لكن الظاهر ربعنا ما يهتمون الأ بالتلوين وتكبير المواضيع وتهويلها

عموما مشكور

[الوافي]

($)الإلكترون($)

:con2: ياخوي وش فرقت اذا نزل مره اخرى او لا

يعني بالله عليك انا بشوفها عندك وانزله مره ثانيه

انا شفت الموضوع في الشركه ونزلته لا تحاول انك تكره الخير لأخوانك الاعضاء

جزاك الله خير

[زائرنور الكون]

مشكور اخوي الوافي

لو سمحت اخوي الوافي


ممكن النسخه الاصليه مع ملف التعديل تحطه لي لاهنت
وابي استشيرك هل التعريب يروح بعد الترقيه
للعلم النسخه حقتي vb3.0.3
اذا كان التعريب يروح ياليت تحط لي انضف ملف تعريب

واكون شاكر لك مقدما



اخوك

[yemen-1-host]

مشكووووووووووور اخوي الوافي :nice: :nice:

[shado]

جزاك الله الف خير عزيزي الوافي

[الغريب همام]

شكرا لك .

ولكن الكلام عن ملف includes/init.php أين رابط موضوعه من موقع vBulletin ؟

وهل من حمل قبل يومين لا يحتاج للتعديل في هذا الملف includes/init.php ؟

وقد تم التعديل في ملف private.php شكرا لك على التنبيه .

[محب الدمار]

مشكور يالوافى

[($)الإلكترون($)]

ههههههههههههه

يا خوي الوافي ومن قالك أني أقصد ما تقصده أنت . أرجع لكلامي وشوف

اقول بعض العرب ما يهتم بشي مكتوب كتابة فقط . لازم تكحيل وتلوين وبهرجة وصور عشان يقراه

ولو أني ما أحب أفيد غيري . ما دخلت المنتدى هذا ولا عرجت عليه

اقل حاجة كان أخذ منكم ولا أرد ولا أكتب ولا أعطي ولا اساعد ولا أناقش

عموما تشكر ما قصرت

تحياتي