تحديث امني vBulletin 3.8.4 PL1, 3.7.6 PL1 and 3.6.12 PL2 Released

[khaledajj]

تحديث امني جديد

نزل اليوم قبل كم ساعة


ثغرة XSS



An XSS flaw within the user profile page has recently been discovered. This could allow an attacker to carry out an action as a user or obtain access to a user's account. To resolve this issue, it has been necessary to release a patch level version of the active versions of vBulletin.

The upgrade process is the same as previous patch level releases - simply download the patch from the Members Area, extract the files and upload to your webserver, overwriting the existing files. There is no upgrade script required.

As with all security-based releases, we recommend that all customers upgrade as soon as possible in order to prevent any potential damage resulting from the flaw being exploited.


Upgrading from 3.8.4, 3.7.6 or 3.6.12

If you are already running the latest version of the 3.6, 3.7 or 3.8 branch, the process you will be required to follow to make your board immune to this flaw is very simple.

There is no need to run an upgrade script if you are already running the latest version.

Visit the Patches section of the vBulletin Members' Area and download the patch for the version you are using, then extract the files from the archive you downloaded, then upload the files to your board via FTP etc., overwriting the existing files. This will update your version to the PL1 release.


Upgrading from an earlier version

If you are not already running the latest version of 3.6, 3.7 or 3.8, you should download the latest version from the Members' Area and perform an upgrade as normal.

Full instructions for upgrading vBulletin are available here.


Download vBulletin 3.8.4 PL1 / 3.7.6 PL1 / 3.6.12 PL2

As usual, the version released today is available for all customers with valid, active licenses to download from the vBulletin Members' Area.

vBulletin Members Area


التحديث الامني هو في ثلاث ملفات فقط





includes/class_dm.php
includes/class_dm_user.php
includes/version_vbulletin.php
للعلم تم النشر


خالد

[مستر سمعة]

أرجو منك أخي أن تُرفِق لنا الملفات، لأنني تظهر لي رسالة
As an anti-abusive measure, you are limited to one download of vBulletin every five minutes.

وإذا جربت بعد فترة تظهر نفس الرسالة، أو يتم تحميل صفحة موجود بها نفس النص

في الإنتظار ...

[محمد الثقفي]

ترى ياشباب لازم الاهتمام بهذه الثغره

حتى نسخ ال 3.6x

بها الثغره لذلك يجب ترقيعها حتى لو يدوياً


الترقيع اليدوي للاصدارات القديمه

1: افتح ملف

كود:

includes/class_dm.php

ابحث عن

كود:

function verify_link

استبدل كامل السطر بـ

كود:

function verify_link(&$link, $strict = false)

ابحث تحت نفس السطر سوف تجد

كود:

else if (!preg_match('#^[a-z0-9]+://#si', $link))
        {
            // link doesn't match the http://-style format in the beginning -- possible attempted exploit
            return false;
        }

اضف تحتها

كود:

else if ($strict && !preg_match('#^(http|https)://#si', $link))
        {
            // link that doesn't start with http:// or https:// should not be allowed in certain places (IE: profile homepage)
            return false;
        }

2: افتح الملف

كود:

includes/class_dm_user.php

ابحث عن

كود:

return (empty($homepage)) ? true : $this->verify_link($homepage);

واستبدله بـ

كود:

 return (empty($homepage)) ? true : $this->verify_link($homepage, true);

انتهى

من الافضل ان تقوم بذلك يدوياً ولاتأخذ ملف جاهز نظراً لاختلاف الاصدارات

موفقين ان شاءالله

[مستر سمعة]

شكراً للإهتمام، وجزاك الله خير أخ محمد الثقفي

[طويل الشوق]

جزاك الله خير

ياليت احد يرفق لنا الملفات الثلاث للنسخة 3.8.4

مع كل الشكر

[khaledajj]

لا تحضرني الملفات الان لكن

شرح الترقيع اليدوي


الشرح هنا

[khaledajj]

أرجو منك أخي أن تُرفِق لنا الملفات، لأنني تظهر لي رسالة
As an anti-abusive measure, you are limited to one download of vBulletin every five minutes.

وإذا جربت بعد فترة تظهر نفس الرسالة، أو يتم تحميل صفحة موجود بها نفس النص

في الإنتظار ...

جرب من هنـــا


يجب ان تكون رخصتك سارية المفعول لتستطيع تحميل الترقيع

[مستر سمعة]

ياليت احد يرفق لنا الملفات الثلاث للنسخة 3.8.4

تفضل في المرفقات أخي

[طويل الشوق]

بارك الله فيك اخي مستر سمعة

تم الترقيع

[khaledajj]

تفضل في المرفقات أخي

اخي العزيز مستر سمعة

الترقيع الخاص بالنسخة 3.8.4PL1

هو ثلاث ملفات فقط وانت مرفق اربعة ؟

الملف
functions.php

ليس من ضمن الترقيع ارجوا التأكد اخي الكريم

[Sc®iPt]

جميع باتشات النسخ الحديثه vBulletin 3.8.4 PL1, 3.7.6 PL1 and 3.6.12 PL2 للتحميل

لمن آراد الباتشات بمختلف إصدارتها