السلام عليكم
حبيت أزودكم بأخر نسخه وصلت من vBulletin
وما أشوف فيها أي جديد وكل الكلام اللي انكتب من kier المدير الفني للبرنامج يذكر فيه انه المشكله من دالة unserialize ومشكلة تعريب الـ bbcode داخل التواقيع لانها تأدي الى ثغرات Cross Site Scripting .
بالنسبه لدالة unserialize موجوده داخل الـ PHP لكن فيها ثغره قاتله في الاصدارات التي قبل PHP 4.3.9 وقاموا مطورين الـ PHP وعملوا ترقيع وترقيه الى PHP 4.3.10 لكن ترقيتهم الجديده هذه غير مستقره الى الان .
ولو تلاحظون النسخ السابقه من 3.0.3 وماقبل كان فيها ثغره من ثغرات دوال الـ Unserialze داخل ملف Init.php وتمت معالجة هذه الثغره في 3.0.4 و 3.0.5 .
ع العموم الشي المهم في هذا التحديث هو ملف functions_bbcodeparse.php
وهذا الملف يحتوي على بعض الدوال الخاصه بتعريب رموز الـ bbcode مثل [ php ] و [ url ] ..... الخ
والثغره اللي تتم في بعض دوال هذا الملف كان يتم الوصول لها عن طريق التوقيع حيث يستطيع الشخص المخترق سرقة الكوكيز الخاصه بالأدمن اذا نجحت الثغره .
لذلك هو أهم شي يتحدث في نسخكم الأن وهذا رابط الملف المعدل :
http://www.vbulletin.com/forum/attac...chmentid=12871
واللي يبي النسخه الجديده انا ارفقتها مع الموضوع على نفس رقم العميل السابق ان كنتم تذكروهوهي نسخه ليست منزوعة كووود التبليغ .
رقم العميل : 999598883979
رد مع اقتباس
