Pitchoune
23/04/2008, 20h39
vBulletin 3.7.0
Release Candidate 4
Oui, nous savons...
CECI EST UN LOGICIEL EN VERSION NON STABLE.
IL EST NON SUPPORTÉ.
Si vous n'êtes pas au point dans les sauvegardes et restauration de votre forum, ainsi qu'avec les bugs et les mises à jour, N'INSTALLEZ PAS CETTE VERSION.
La semaine dernière, j'ai annoncé que nous allions rendre disponible la version finale de vBulletin 3.7.0 cette semaine. Je suis désolé mais cela ne sera pas le cas.
Une faille de sécurité de type CSRF (cross-site request forgery) nous a été signalé, qui requiert des modifications significatifs dans les templates et fichiers de tous les produits, incluant vBulletin 3.x (même vB 3.0.x), Blog et Project Tools. La faille CSRF potentiellement activé permet à un administrateur qui a été leurré par un site tiers d'envoyer des formulaires de façon inconnue localisés dans le forum où celui-ci/celle-ci administrie, résultant en un dommage potentiel sur le forum. Les actions effectués via le Logiciel d'Administration ne sont pas vulnérables.
De même, cette vulnérabilité n'est pas unique à vBulletin - plusieurs applications web sont affectés et le sont toujours, due à la nature du web.
Il a été décidé d'effectuer une nouvelle version pour vBulletin 3.7.0 contenant la correction pour le problème, car les modifications sont dispersées et il ne serait pas prudent de rendre disponible vBulletin 3.7.0 'gold' avant de savoir si cette correction fonctionne bien.
En même temps que vBulletin 3.7.0 Release Candidate 4 est disponible, nous diffusons aussi vBulletin 3.6.10, qui contient des corrections variés reportés depuis vBulletin 3.7.0, et bien sûr la correction à la faille de sécurité. De nouvelles versions pour le Blog et Project Tools vont suivre dans les prochains jours.
Malheureusement, due au nombre de fichiers et de modifications de templates requis pour cette vulnérabilité, il n'est pas possible de fournir un patch ou module pour résoudre le problème - une simple mise à jour entière suffit.
Nous recommandons à ce que tous les licenciés se mettent à jour aussi vite que possible.
Les licenciés utilisant 3.7.x doivent se mettre à jour à 3.7.0 RC4.
Les licenciés utilisant 3.6.9 doivent se mettre à jour à 3.6.10.
Pour ceux qui espérait télécharger vBulletin 3.7.0 'Gold' cette semaine, nous en sommes désolés. Nous espérons que le fait que nous souhaitons accorder un peu plus de temps à une nouvelle version majeure en phase final que de rendre disponible une version avec des failles de sécurités connues.
Si les tests de cette release candidate sont bons, nous envisagerons la version 'gold' pour la semaine prochaine.
Recommandations PHP et MySQL
Nous recommandons que vBulletin 3.7 utilise PHP 5.2.5 avec APC (ou un autre système d'opcode cache PHP) et MySQL 5.0.51 pour de meilleurs performances et stabilités.
Qu'est ce qu'un Release Candidate ?
Une version Release Candidate, ou RC, signifie que nous croyons que vBulletin 3.7 est prêt à être déclaré « stable » et « supporté » mais qui requiert d'avantages de tests avant d'être sûr. Les seuls bugs connus sont déclarés comme étant trivial.
Les versions RC seront disponibles jusqu'à ce que seuls des légers bugs soient corrigés. Une fois ceci fait, la prochaine étape est de rendre disponible la version « Gold » ou, plus officiellement, 3.7.0.
Ceci est une version du logiciel encore non stable. Si vous n'avez pas de compétences dans la résolution de bugs lors de mises à jour ainsi que la restauration de votre base de données en cas de problèmes, n'installez pas cette version et attentez la version finale, vBulletin 3.7.0.
Voici donc ses limitations :
Ces versions de logiciel ne sont pas supportées officiellement. Vous pouvez l'utiliser à vos risques et périls
Des erreurs connues subsistent dans cette version. Vous ne devez pas installer celle-ci sur des sites à forte affluence.
Vous devez sauvegarder l'intégralité de votre base de données avant d'installer les versions betas ou Release Candidate.
Si vous choisissez d'installer cette version, vous devez être conscient que de nouvelles versions vont sortir dès que des bugs ou failles auront été corrigés.
Impex ne prend pas en changer ces versions. Il ne le fera que lors de la sortie de la version stable.
http://www.vbulletin.com/forum/showthread.php?t=268124
Release Candidate 4
Oui, nous savons...
CECI EST UN LOGICIEL EN VERSION NON STABLE.
IL EST NON SUPPORTÉ.
Si vous n'êtes pas au point dans les sauvegardes et restauration de votre forum, ainsi qu'avec les bugs et les mises à jour, N'INSTALLEZ PAS CETTE VERSION.
La semaine dernière, j'ai annoncé que nous allions rendre disponible la version finale de vBulletin 3.7.0 cette semaine. Je suis désolé mais cela ne sera pas le cas.
Une faille de sécurité de type CSRF (cross-site request forgery) nous a été signalé, qui requiert des modifications significatifs dans les templates et fichiers de tous les produits, incluant vBulletin 3.x (même vB 3.0.x), Blog et Project Tools. La faille CSRF potentiellement activé permet à un administrateur qui a été leurré par un site tiers d'envoyer des formulaires de façon inconnue localisés dans le forum où celui-ci/celle-ci administrie, résultant en un dommage potentiel sur le forum. Les actions effectués via le Logiciel d'Administration ne sont pas vulnérables.
De même, cette vulnérabilité n'est pas unique à vBulletin - plusieurs applications web sont affectés et le sont toujours, due à la nature du web.
Il a été décidé d'effectuer une nouvelle version pour vBulletin 3.7.0 contenant la correction pour le problème, car les modifications sont dispersées et il ne serait pas prudent de rendre disponible vBulletin 3.7.0 'gold' avant de savoir si cette correction fonctionne bien.
En même temps que vBulletin 3.7.0 Release Candidate 4 est disponible, nous diffusons aussi vBulletin 3.6.10, qui contient des corrections variés reportés depuis vBulletin 3.7.0, et bien sûr la correction à la faille de sécurité. De nouvelles versions pour le Blog et Project Tools vont suivre dans les prochains jours.
Malheureusement, due au nombre de fichiers et de modifications de templates requis pour cette vulnérabilité, il n'est pas possible de fournir un patch ou module pour résoudre le problème - une simple mise à jour entière suffit.
Nous recommandons à ce que tous les licenciés se mettent à jour aussi vite que possible.
Les licenciés utilisant 3.7.x doivent se mettre à jour à 3.7.0 RC4.
Les licenciés utilisant 3.6.9 doivent se mettre à jour à 3.6.10.
Pour ceux qui espérait télécharger vBulletin 3.7.0 'Gold' cette semaine, nous en sommes désolés. Nous espérons que le fait que nous souhaitons accorder un peu plus de temps à une nouvelle version majeure en phase final que de rendre disponible une version avec des failles de sécurités connues.
Si les tests de cette release candidate sont bons, nous envisagerons la version 'gold' pour la semaine prochaine.
Recommandations PHP et MySQL
Nous recommandons que vBulletin 3.7 utilise PHP 5.2.5 avec APC (ou un autre système d'opcode cache PHP) et MySQL 5.0.51 pour de meilleurs performances et stabilités.
Qu'est ce qu'un Release Candidate ?
Une version Release Candidate, ou RC, signifie que nous croyons que vBulletin 3.7 est prêt à être déclaré « stable » et « supporté » mais qui requiert d'avantages de tests avant d'être sûr. Les seuls bugs connus sont déclarés comme étant trivial.
Les versions RC seront disponibles jusqu'à ce que seuls des légers bugs soient corrigés. Une fois ceci fait, la prochaine étape est de rendre disponible la version « Gold » ou, plus officiellement, 3.7.0.
Ceci est une version du logiciel encore non stable. Si vous n'avez pas de compétences dans la résolution de bugs lors de mises à jour ainsi que la restauration de votre base de données en cas de problèmes, n'installez pas cette version et attentez la version finale, vBulletin 3.7.0.
Voici donc ses limitations :
Ces versions de logiciel ne sont pas supportées officiellement. Vous pouvez l'utiliser à vos risques et périls
Des erreurs connues subsistent dans cette version. Vous ne devez pas installer celle-ci sur des sites à forte affluence.
Vous devez sauvegarder l'intégralité de votre base de données avant d'installer les versions betas ou Release Candidate.
Si vous choisissez d'installer cette version, vous devez être conscient que de nouvelles versions vont sortir dès que des bugs ou failles auront été corrigés.
Impex ne prend pas en changer ces versions. Il ne le fera que lors de la sortie de la version stable.
http://www.vbulletin.com/forum/showthread.php?t=268124