ثغرة خطيرة جديدة في vBulletin 3.8.6

[بيت العنكبوت]

السلام عليكم ورحمة الله وبركاته


تم الكشف عن ثغره جديدة في نسخ vBulletin 3.8.6

والثغره في ملف faq.php

توصل المخترق لقاعدة بيانات المنتدى

الحل المؤقت للثغره

اما بالترقية للاصدار الرابع او حذف ملف faq.php من مجلد المنتدى

لحتى يتم انزل الباتش

المصدر
http://www.vbulletin.com/forum/showthread.php?357801

[moh_elferg]

هل لو تم الحذف هيأثر علي المنتدي

[ابو اسر]

هل لو تم الحذف هيأثر علي المنتدي

لا طبعا لن يؤثر على المنتدى مطلقا .. انا من سنوات و انا دائما احزف هذا الملف لا فائدة منه بخلاف انه دائما يحتوى على ثغرات من خلالها يمكن الاتصال بالقاعده .

ممكن اذا كنت لا تريد حزفه من الممكن ان تقوم بأنزال الملف على جهازك ثم قم بفتحه و افرغ محتواه " اجعل الملف فارغ " و قم برفعه و اذا دخل اى زائر على التعليمات سيجد الصفحة بيضاء او ممكن ان تضع فيها رابط ايضا اذا دخل اى شخص على الصفحة سيجدها فارعه و بالضغط على الرابط الذى وضعته سيتوجه للرئيسيه مثلا .. فى كل الاحوال ارى ان هذا الملف لا فائده منه مطلقا فلا يوجد من يقوم بقرائة التعليمات الا نسبة 5% اذا اعتبرنا ان هناك من يهتم بتلك الصفحه المعنيه بالتعليمات

[الطآئر الجريح]

عادة اقوم بتغيير عدة ملفات منها faq.php, calendar.php, online.php, سواءً فيه ثغرة او لا لزيادة الامان
أقوم بتحمل ملف الاندكس وتغيير اسمه الى الملفات الموجودة بالأعلى, وإعادة رفعها overwrite

و شكراً لك أخوي.

[dragon02]

وهو ده ينفع النسخه لسه نازله مبقلهاش كام يوم والله منتديات الاى بى بعمر منتديات الفى بى من حيث الامان

[Sc®iPt]

الترقيع هو عباره عن ملف لغة


قم برفعه من خلال لوحة التحكم وبكذا تكون رقعت الثغره

الباتش مرفق ..

أطيب تحية

[أبوعلي1981]

شكرا لكم جميعا على التحديث ..
بارك الله فيكم .. تم الترقيع بحمدالله وقوته ..

إذا أردتم أن يتغير رقم الإصدار من 3.6.8 إلى 3.6.8 PL1 ... فما عليكم سوى إتباع الخطوات التالية :
1) رفع ملف vbulletin_language.xml ورفعه عبر لوحة التحكم المنتدى ..
2) ورفع ملف vbulletin_version.php من مجلد النسخة المرقعة إلى includes ..

وتكون بذلك قد رقعت الثغرة مع تغيير رقم النسخة ..