vBulletin 3.7.2 PL2 i 3.6.10 PL4

Błędy XSS powiązane z JavaScript zostały zidentyfikowane i wyeliminowane. To uniemożliwi potencjalnym osobom atakującym uzyskanie dostępu do konta użytkownika. Aby Twoje forum posiadało najwyższy poziom bezpieczeństwa niezbędne jest przeprowadzenie procesu aktualizacji niektórych plików.
Jak podaje vBulletin.com lukę wykrył Federico Muttis.

Proces aktualizacji będzie przebiegał tak jak w przypadku ostatnich poprawek. Należy pobrać łatki z Members Area i nadpisać zmodyfikowane pliki na serwerze. Nie jest konieczne, aby wykonywać upgrade całego skryptu.
Jeśli korzystasz ze starszych wersji niż 3.7.2 lub 3.6.10 konieczna jest całkowita aktualizacja skryptu przy wykorzystaniu aplikacji install/upgrade.php.

Jelsoft zaleca natychmiastową aktualizację dla wszystkich klientów, aby uniknąć włamań na fora.

W nadchodzącym tygodniu vBulletin 3.7.3 i 3.6.11

Wydanie vBulletin 3.7.3 oraz 3.6.11 zapowiadane jest na wtorek, 26 sierpnia.
Te wydania będą zawierały poprawki błędów, ale wprowadzą też nowy poziom bezpieczeństwa. Nie będzie możliwości, aby hasło było nazwą użytkownika. Obejmie to zarówno nowe osoby rejestrujące się na forum jak i już zarejestrowanych. Będą oni zmuszeni zmienić swoje hasło przy najbliższym logowaniu po aktualizacji skryptu. Nowe hasło zostanie wysłane na EMail.

Zostaliśmy poinformowani o tym wydaniu vBulletin, jednak podczas premiery wersji 3.7.3 oraz 3.6.11 Jelsoft nie będzie wysyłał żadnych EMaili. Należy więc spoglądać na tablicę ogłoszeń w AdminCP (znajduje się na pierwszej stronie) lub ewentualnie na Wasze vBHELP, gdzie na pewno zostaniecie o nowym wydaniu poinformowani.

Pozdr.
Max Kwiatkowski