Witam,
Zostały wydane pierwsze wersje Patch Level (czyli łatki) dla vBulletin 3.7.1 oraz 3.6.10.

Co zostało poprawione?
Błędy XSS, które potencjalny hacker mógł użyć do włamania się na forum. Jest to trudne do osiągnięcia i wymaga sporej wiedzy, jednak poprawki w tym zakresie zostały wprowadzone, a błędy wyeliminowane.

Aktualizacja
Odnośnie aktualizacji skryptu:Jeśli już korzystamy z wersji 3.7.1 lub 3.6.10 nie ma potrzeby uruchamiać install/upgrade.php, gdyż są to tylko łatki i żadne poważne zmiany (np. w bazie danych) nie zostały wprowadzone.. Wystarczy zalogować się do Members Area (sekcja łatek), pobrać aktualizacje i nadpisać pliki na forum.
W sumie zaktualizowane zostały 3 pliki:

• admincp/index.php
• includes/functions.php
• includes/version_vbulletin.php

Jeśli natomiast korzystamy ze starszej wersji np. 3.7.0 lub 3.6.9 musimy wykonać cały proces aktualizacji.

Wymagania PHP i MySQL
Należy pamiętać, że vBulletin 3.7.x wymaga co najmniej PHP 4.3.3 i MySQL 4.0.16 lub nowszej.
Jednak wydawca skryptu (Jelsoft) zaleca, aby vBulletin działał na PHP 5.2.6 i MySQL 5.0.51 dla uzyskania najlepszej wydajności i stabilności.
Jednocześnie należy pamiętać, że został ogłoszony "koniec życia" dla PHP 4 i wersja ta nie będzie już rozwijana ani aktualizowana, choć Jelsoft nadal będzie wspierał fora działające na PHP 4.

Pobierz Aktualizacje
Jak zwykle obie wersje są dostępne do pobrania z vBulletin Members' Area dla wszystkich klientów z ważnymi licencjami.

mnie tylko jedna sprawa ciekawi patcha bezpieczeństwa, bo rozumie, że to właśnie taki jest. Mając licencję typu owned tak mi się wydawało że aktualizację związane z bezpieczeństwem będę miał dostępne nawet jak licencja będzie w stanie expired. Teraz dla wersji 3.7.0 nie ma patcha bezpieczeństwa, a jest tylko dla wersji 3.7.1, której nie chce pobierać

to miao byc w temacie wyzej

// by Max
Przeniesione.

Łatki bezpieczeństwa (czyli aktualizacja kilku plików) są wydawane dla ostatniej finalnej wersji (w tym przypadku dla wersji 3.6.x oraz 3.7.x). Wydanie łatki np. dla vBulletin 3.7.0 mija się z celem gdyż i tak nie jest ono w pełni bezpieczne. Podstawą bezpiecznego forum jest najnowsza wersja skryptu.

Zamieszczone przez Max

Łatki bezpieczeństwa (czyli aktualizacja kilku plików) są wydawane dla ostatniej finalnej wersji (w tym przypadku dla wersji 3.6.x oraz 3.7.x). Wydanie łatki np. dla vBulletin 3.7.0 mija się z celem gdyż i tak nie jest ono w pełni bezpieczne. Podstawą bezpiecznego forum jest najnowsza wersja skryptu.

jeden fakt mnie ciekawi, jak lilcencja skończyła się w maju a wykupie w lipcu to będzie liczona od maja czy od lipca do następnego roku ?

Od lipca oczywiście.

vBulletin 3.7.1 PL2 & 3.6.10 PL2 Wydane

angielski to chyba nie problem ?


JELSOFT SECURITY BULLETIN
vBulletin� - Instant Community
18th June 2008

* vBulletin 3.7.1 PL2 and 3.6.10 PL2 Released
* vBulletin 3.7.2 on June 24th
* Your License Information
* Contact Us

------- VBULLETIN 3.7.1 PL2 and 3.6.10 PL2 RELEASED --------------------

An XSS flaw affecting the vBulletin URL redirection system has been identified. It could allow an attacker to trick a moderator or admin into unwittingly performing an action in either the front-end or control panel that they had not intended. To resolve this issue, it is necessary to release PL2 versions of vBulletin 3.7.1 and 3.6.10.

This XSS flaw, and that which made the release of the PL1 versions necessary, was discovered by Jessica Hope and others.

Full details of the release can be found in the vBulletin 3.7.1 PL2 / 3.6.10 PL2 release announcement thread:
vBulletin� - Instant Community

------- VBULLETIN 3.7.2 ON JUNE 24TH --------------------

In line with our new scheduled maintenance release policy, we have evaluated the merits of providing a new maintenance release one month after the previous release or waiting until next month. It has been decided that we will bring forward the release of vBulletin 3.7.2 from Tuesday July 29th to this coming Tuesday, June 24th.

Watch your Admin CP News or Latest Version information for an update on June 24th to say that 3.7.2 is available to download, as no eBulletin will be sent for 3.7.2 after this one.

------- YOUR LICENSE INFORMATION ------------------------

You can use this information to log into the members' area to download vBulletin, ImpEx and other vBulletin-related support materials:



If you have misplaced your customer password, you can request that it be re-sent to your registered email address using the following form:
vBulletin� - Member Area Recover Lost Password

The members' area is located here:
http://members.vbulletin.com/


-------------------- CONTACT US --------------------------

Please do not respond to this email directly. We will not receive your response. Please use the links below.

Got a vBulletin technical query? Contact support:
http://www.vbulletin.com/go/techsupport

For all other queries, please visit this page:
vBulletin� - Contact Us

----------------------------------------------------------

This periodic email newsletter is delivered to all current vBulletin customers, and contains information about new software versions and Jelsoft.com / vBulletin.com web site features and content. If you have any questions or comments about this mailing, please contact us via the links above.

Dziekujemy za podanie customer number, angielski to nie problem? ;p

Skasujcie lepiej ten post

number był zmyslony tak dla zachownia oryginalnego wyglądu maila z jelsoft, ale zeby nie było usunęłem ;]

Zamieszczone przez Davred

number był zmyslony tak dla zachownia oryginalnego wyglądu maila z jelsoft, ale zeby nie było usunęłem ;]

Mam nadzieje ze ci ktorzy go widzieli uwierza ci bardizej niz ja

W kazdym razie znow bylismy narazeni na ataki xss, dobrze ze jest szybka reakcja i ze nie trzeba przeprowadzac calego procesu aktualizacji.

PL 2 jest.