vBulletin 3.6.10

Tandis que vBulletin 3.6.9 était considéré comme version finale de la branche 3.6.x, la découverte d'une faille de sécurité de type CSRF (cross-site request forgery) dans vBulletin nous as conduit à rendre disponible une nouvelle version pour combler la faille de sécurité.

La faille CSRF potentiellement activé permet à un administrateur qui a été leurré par un site tiers d'envoyer des formulaires de façon inconnue localisés dans le forum où celui-ci/celle-ci administrie, résultant en un dommage potentiel sur le forum. Les actions effectués via le Logiciel d'Administration ne sont pas vulnérables.

Malheureusement, due au nombre de fichiers et de modifications de templates requis pour cette vulnérabilité, il n'est pas possible de fournir un patch ou module pour résoudre le problème - une simple mise à jour entière suffit.

Nous recommandons à tous les licenciés utilisant des versions précédentes de vBulletin de se mettre à jour à la version 3.6.10 aussi vite que possible.

Modifications de templates automatiquement appliquées

En dehors d'une exception (userinfraction_view), toutes les modifications des templates de cette version demande une réinitialisation, mais elles sont simples à appliquer, ce qui rend sa mise à jour facilitée. La liste ci-dessous vous indique la liste des templates qui ont subi des modifications et comment ils ont été modifiés. Les templates personnalisés seront automatiquement mis à jour, mais vos modifications resteront présentes.


Mise à jour depuis une ancienne version

3.6.10 est une version de sécurité et nous recommandons que tous les licenciés se mette à jour afin de bénéficier d'un grand nombre corrections de bugs ainsi que d'une meilleure stabilité.

Aucun patch ni module n'est disponible, vous devez faire une mise à jour entière pour passer à vB 3.6.10, car il existe un trop grand nombre de modifications.

Requis PHP et MySQL

Veuillez remarquer que vBulletin 3.6.x demande au minimum PHP 4.3.3 et MySQL 4.0.16 ou supérieur.

Fin de vie pour PHP 4 annoncé

Le groupe PHP a récemment annoncé (http://www.php.net/index.php#2007-07-13-1) que le support pour PHP 4 se terminera le 31 décembre 2007, ceci signifie qu'il n'y aura pas de nouvelle version après cette date. Nous vous recommandons sérieusement de vous mettre à jour à la dernière version de PHP (5.2.5) ainsi que de MySQL (5.0.51). vBulletin 3.6.10 supporte ces produits sans le moindre problème, bien que vous puissiez devoir désactiver le mode stricte pour MySQL, voir ici (http://www.vbulletin.com/docs/html/editconfig) sur comment activer l'option 'force_sql_mode'.

Remarque : Nous continuerons à supporter PHP 4 dans nos versions actuellement disponibles.

Télécharger vBulletin 3.6.10

Comme d'habitude, vBulletin 3.6.10 est disponible pour tous les licenciés avec une licence valide depuis l'Espace Membres.

Espace Membres vBulletin (http://members.vbulletin.com/)

http://www.vbulletin.com/forum/showthread.php?t=268123

ajax.php
announcement.php
attachment.php
calendar.php
cron.php
editpost.php
external.php
faq.php
forumdisplay.php
image.php
index.php
infraction.php
inlinemod.php
joinrequests.php
login.php
member.php
memberlist.php
misc.php
moderation.php
moderator.php
newattachment.php
newreply.php
newthread.php
online.php
payment_gateway.php
payments.php
poll.php
postings.php
printthread.php
private.php
profile.php
register.php
report.php
reputation.php
search.php
sendmessage.php
showgroups.php
showpost.php
showthread.php
subscription.php
threadrate.php
usercp.php
usernote.php
admincp

phrase.php
profilefield.php
usertools.php

clientscript

vbulletin_cphome_scripts.js
vbulletin_global.js
vbulletin_menu.js
vbulletin_quick_edit.js

includes

adminfunctions.php
class_core.php
functions.php
functions_log_error.php
functions_newpost.php
functions_online.php
init.php
version_vbulletin.php

install

install.php
upgrade.php
upgrade_3610.php
upgrade_language_en.php
vbulletin-adminhelp.xml
vbulletin-language.xml
vbulletin-settings.xml
vbulletin-style.xml



Veuillez remarquer que ceci est une liste exhaustive des fichiers, plusieurs d'entre-elles ont simplement l'ajout de la ligne define('CSRF_PROTECTION', true); immédiatement après define('THIS_SCRIPT', '... en haut de chaque fichier.

userinfraction_view

Correction pour le bug http://www.vbulletin.com/forum/proje...?issueid=25161 (http://www.vbulletin.com/forum/project.php?issueid=25161) - affiche maintenant l'heure inversée au lieu de l'heure de création.

Réinitialisation requise ? : Non

headinclude

Ajout de SECURITYTOKEN pour la protection CSRF.

Détails : Trouver
var SESSIONURL = "$session[sessionurl_js]";
et après ceci, ajouter
var SECURITYTOKEN = "$bbuserinfo[securitytoken]";

Réinitialisation requise ? Oui, bien que ceci soit généralement appliqué automatiquement pour vous.

activateform
activate_requestemail
announcement_edit
calendar_edit
calendar_manage
CALENDAR_REMINDER
calendar_reminder_choosetype
calendar_showeventsbit
contactus
editpoll
editpost
footer
FORUMDISPLAY
JOINREQUESTS
lostpw
mailform
memberlist
memberlist_search
moderation_posts
moderation_threads
modifyattachments
modifyavatar
modifylist
modifyoptions
modifypassword
modifyprofile
modifyprofilepic
modifysignature
modifyusergroups
modifyusergroups_requesttojoin
navbar
newattachment
newpoll
newreply
newthread
pm_editfolders
pm_emptyfolder
pm_messagelist
pm_movepm
pm_newpm
pm_receipts
pm_showpm
polloptions_table
register
register_rules
register_verify_age
reportbadpost
reputationbit
search_forums
search_results
sendtofriend
SHOWTHREAD
STANDARD_ERROR
STANDARD_ERROR_LITE
STANDARD_ERROR_LOGIN
SUBSCRIBE
subscribe_choosetype
subscribe_move
subscribe_showfolders
subscription
threadadmin_copyposts
threadadmin_deleteposts
threadadmin_deletethread
threadadmin_deletethreads
threadadmin_editthread
threadadmin_managepost
threadadmin_mergeposts
threadadmin_mergethread
threadadmin_mergethreads
threadadmin_moveposts
threadadmin_movethread
threadadmin_movethreads
userinfraction
userinfraction_view
usernote_note
WHOSONLINE

Ajout de la valeur de sécurité cachée.

Détails : Trouver
<input type="hidden" name="s" value="$session[sessionhash]" />
et après ceci, ajouter
<input type="hidden" name="securitytoken" value="$bbuserinfo[securitytoken]" />

Réinitialisation requise ? Oui, bien que ceci soit généralement appliqué automatiquement pour vous.

Avis aux auteurs de modifications et de modules - les modifications dans vBulletin 3.6.10 et 3.7.0 RC4 causeront des dégâts dans toute forme de code qui ont attrait aux scripts vBulletin.

Cependant, il est facile d'adapter votre code pour inclure le nouvel élément de sécurité et d'en restaurer sa fonctionnalité.

Les informations à propos de comment appliquer ceci ont été transmises à l'équipe de vBulletin.org, qui les communiqueront rapidement.

Grrrrrrrrrr encore une !

Le groupe PHP a récemment annoncé (http://www.php.net/index.php#2007-07-13-1) que le support pour PHP 4 se terminera le 31 décembre 2007

Ah bon ? :mdr:

Merci, Pitchoune, pour l'info.

Corrige si ça t'enchante. Pas le temps.

Et passez par le style par défaut, c'est le seul style sans aucun problème lors des mises à jour.

Peux pas ici, ce n'est pas ma section :p

Plus tard dans ce cas, me reste 93 templates à update.....

Auteurs de modifications et modules, veuillez vous rendre ici : http://www.vbulletin.org/forum/showthread.php?t=176944

Merci Pit ;)

A+

Et Courage !

Bonjour

ils sont vraiment pénible ! encore double boulot avec la sortie prochaine de 3.7.0

:(

Auteurs de modifications et modules, veuillez vous rendre ici : http://www.vbulletin.org/forum/showthread.php?t=176944

Salut,
Rien d'urgent ... mais je n'ai pas accès :eek:
Comment inclure le nouvel élément de sécurité ?

Si tu n'as pas crée de modifications, tu n'y a pas accès. Suffit d'ajouter ce qui a été indiqué dans l'annonce (avec <input name="securitytoken"> dans les formulaires). Leur page sera rendu tout public dans peu de temps.

Ok, merci